Подпишитесь, чтобы быть в курсе последних обновлений и предложений!

1.1. Настоящая Политика обработки и защиты персональных данных (далее — Политика) разработана в соответствии с требованиями Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), а также иных нормативных актов, регулирующих обработку персональных данных.

1.2. Оператором персональных данных является Общество с ограниченной ответственностью «Торговый Дом «Церера-Мебель», зарегистрированное в Российской Федерации, ИНН 2130069617, КПП 213001001, ОГРН 1102130002402, юридический адрес: 428020, Чувашская Республика, г. Чебоксары, ул. Энгельса, д. 42 (далее — «Оператор»).

1.3. Оператор осуществляет обработку персональных данных, полученных от пользователей сайта cerera-mebel.ru (далее — Сайт), и обязуется соблюдать конфиденциальность и обеспечивать защиту персональных данных в соответствии с действующим законодательством.

1.4. Настоящая Политика применяется ко всем персональным данным, которые Оператор получает от пользователей Сайта.

2. ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
• Обработка персональных данных — любые действия (операции) с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, передачу и уничтожение.
• Пользователь — лицо, посетившее сайт cerera-mebel.ru и предоставляющее свои персональные данные.
• Оператор — юридическое лицо, ответственное за организацию и (или) обработку персональных данных.

3. ЦЕЛИ ОБРАБОТКИ, ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Цели обработки персональных данных.

Оператор осуществляет обработку персональных данных Пользователей для достижения следующих целей:

• Идентификация и верификация Пользователя с целью предоставления доступа к функционалу Сайта, оформления заказов и регистрации личного кабинета;
• Исполнение договорных обязательств, включая оформление и обработку заказов, доставку товаров, оказание услуг, расчёт и выставление счетов;
• Обеспечение коммуникации и поддержки, включая обратную связь, консультирование, информирование о статусе заказа, обработку обращений и претензий;
• Информационное сопровождение — информирование Пользователей о новинках, акциях, специальных предложениях и изменениях условий предоставления услуг посредством электронных рассылок, SMS, телефонных звонков;
• Аналитика и улучшение качества услуг, включая сбор и анализ статистических данных о поведении пользователей на сайте, оценку качества предоставляемых услуг и продуктов;
• Обеспечение безопасности, предотвращение мошенничества, несанкционированного доступа, защита имущественных и личных прав Оператора и Пользователей;
• Соблюдение требований законодательства Российской Федерации, включая хранение и предоставление персональных данных в соответствии с запросами государственных органов и правоохранительных органов.

3.2. Объем и категории обрабатываемых персональных данных, применительно к целям обработки

3.3. Категории субъектов персональных данных

Субъектами персональных данных, чьи данные обрабатываются Оператором, являются:

• Пользователи сайта cerera-mebel.ru — физические лица, использующие функционал сайта, оформляющие заказы, подписывающиеся на рассылки и взаимодействующие с оператором и сайтом;
• Клиенты и заказчики, с которыми Оператор заключает договоры на оказание услуг или поставку продукции;
• Потенциальные клиенты и посетители сайта, оставляющие заявки, подписывающиеся на информационные рассылки;
• Сотрудники и представители юридических лиц, взаимодействующих с Оператором по вопросам сотрудничества (в части предоставленных данных для коммуникации и исполнения договоров);
• Другие лица, предоставившие свои персональные данные Оператору в рамках взаимодействия, согласия или обязательств.

4. Особенности обработки персональных данных посредством сайта

4.1. Во время посещения субъектами ПД Сайта и использования его функционала возможен пассивный сбор технической информации пользовательских устройств Субъектов ПД с использованием различных технологий и способов.

4.2. Сбор технической информации и ее дальнейшее использование необходимо для обеспечения бесперебойного доступа Субъектов ПД к Сайту, использования ими функционала Сайта и обеспечения информационной безопасности.

4.3. Субъекты ПД могут отказаться принимать аутентификационные файлы «Cookie» Сайта, используя настройки своего браузера. Однако это может привести к неудобствам при использовании Сайта.

4.4. Сайт не предназначен для лиц младше 18 лет. Такие лица не должны предоставлять персональные данные через Сайт. В случае выявления передачи персональных данных несовершеннолетними, они подлежат уничтожению.

4.5. Настоящая Политика не регулирует порядок обработки персональных данных на сторонних сайтах и мобильных приложениях, даже если на них имеются ссылки с Сайта.

1. Сбор персональных данных

5.1. Сбор персональных данных осуществляется непосредственно у самого Субъекта ПД.

5.2. Если предоставление персональных данных обязательно, субъекту разъясняются последствия отказа.

5.3. Получение персональных данных у иных лиц возможно только при наличии законных оснований.

5.4. При сборе персональных данных с использованием сети Интернет Оператор обеспечивает их хранение на территории РФ.

1. Способы обработки персональных данных

6.1. Обработка осуществляется с использованием автоматизированных и неавтоматизированных способов.

6.2. Меры по обеспечению безопасности персональных данных при их обработке

6.2.1. Оператор принимает необходимые меры защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

6.2.2. Обеспечение безопасности персональных данных достигается, в частности:

1. определением угроз безопасности;
2. применением мер защиты информации, установленных законодательством;
3. использованием сертифицированных средств защиты информации;
4. оценкой эффективности принимаемых мер до ввода в эксплуатацию систем обработки ПД;
5. учетом машинных носителей ПД;
6. выявлением и реагированием на инциденты безопасности;
7. восстановлением ПД при утрате;
8. установлением регламентов доступа к ПД;
9. контролем за безопасностью ПД.

6.2.3. Биометрические данные хранятся вне ИСПДн только на защищённых материальных носителях.

6.2.4. Обязанности Оператора при обращении субъектов ПД:

6.2.4.1. Сообщать субъекту ПД наличие, содержание и доступ к его персональным данным.

6.2.4.2. В случае отказа — представить мотивированный письменный ответ.

6.2.4.3. Безвозмездно предоставлять субъекту ПД возможность ознакомиться с его ПД и вносить изменения при наличии ошибок.

6.2.4.4. По запросу уполномоченного органа — предоставлять информацию в срок до 10 рабочих дней (с возможным продлением).

6.2.5. Обязанности по устранению нарушений:

6.2.5.1. При выявлении неправомерной обработки — блокировать ПД на время проверки.

6.2.5.2. При подтверждении ошибок — уточнить ПД в течение 7 рабочих дней.

6.2.5.3. При невозможности устранить нарушения — уничтожить ПД в течение 10 рабочих дней.

6.2.5.4. При инциденте, повлекшем утечку ПД — уведомить уполномоченный орган в течение 24 часов, результаты расследования — в течение 72 часов.

6.2.5.5. При достижении цели обработки — прекратить и уничтожить ПД в течение 30 дней, если иное не предусмотрено законом или договором.

6.2.5.6. При отзыве согласия на обработку — прекратить обработку и уничтожить ПД в течение 30 дней.

6.2.5.7. При требовании прекратить обработку — выполнить в течение 10 рабочих дней (или продлить с уведомлением).

6.2.5.8. Если уничтожение невозможно — блокировать ПД и уничтожить в срок до 6 месяцев.

1. Ответственность

7.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут установленную законом ответственность.

7.2. Ответственность:

7.2.1. Лица, виновные в нарушении требований Закона, несут ответственность в соответствии с законодательством РФ.

7.2.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.

8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
   
   

8.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2. Обеспечение безопасности персональных данных достигается, в частности:

1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5. учетом машинных носителей персональных данных;
6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.3. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии её хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.

8.4. Обязанности Оператора при обращении субъекта персональных данных или при получении запроса от субъекта персональных данных, его представителя либо уполномоченного органа по защите прав субъектов персональных данных:

8.4.1. Оператор сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к нему, а также предоставляет возможность ознакомления с такими персональными данными по обращению либо в течение 10 рабочих дней с даты получения соответствующего запроса. Указанный срок может быть продлён, но не более чем на 5 рабочих дней, при условии направления мотивированного уведомления с указанием причин продления срока.

8.4.2. В случае отказа в предоставлении информации субъекту персональных данных или его представителю, Оператор обязан направить мотивированный письменный отказ в срок не более 10 рабочих дней с даты обращения, с возможностью продления срока, но не более чем на 5 рабочих дней с обязательным уведомлением.

8.4.3. Оператор безвозмездно предоставляет субъекту персональных данных или его представителю возможность ознакомиться с персональными данными. В случае подтверждения факта, что данные являются неполными, неточными или неактуальными, Оператор обязан внести изменения в течение 7 рабочих дней с момента представления соответствующих сведений. Если данные незаконно получены или не являются необходимыми, они подлежат уничтожению в тот же срок. Оператор уведомляет субъекта персональных данных о внесённых изменениях или уничтожении данных и, при необходимости, уведомляет об этом третьих лиц, получивших такие данные.

8.4.4. Оператор предоставляет уполномоченному органу по защите прав субъектов персональных данных запрашиваемую информацию в течение 10 рабочих дней с момента получения запроса. Срок может быть продлён не более чем на 5 рабочих дней при наличии мотивированного уведомления с указанием причин продления.

9. ОБЯЗАННОСТИ ОБЩЕСТВА ПО УСТРАНЕНИЮ НАРУШЕНИЙ, УТОЧНЕНИЮ, БЛОКИРОВАНИЮ И УНИЧТОЖЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных, его представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, либо обеспечивает их блокирование (если обработка осуществляется другим лицом по поручению Общества) с момента обращения или получения запроса на период проверки.

9.2. В случае выявления неточных персональных данных, Общество блокирует их на период проверки, если это не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

9.3. При подтверждении неточности персональных данных, Общество на основании полученных сведений или иных документов уточняет их либо обеспечивает уточнение (при порученной обработке) в течение 7 рабочих дней и снимает блокировку.

9.4. В случае выявления неправомерной обработки персональных данных, Общество в срок не более 3 рабочих дней прекращает такую обработку или обеспечивает её прекращение. Если правомерность обработки обеспечить невозможно, Общество уничтожает такие данные в течение 10 рабочих дней. Об этом уведомляется субъект персональных данных, а также уполномоченный орган, если обращение поступило через него.

9.5. При установлении факта неправомерной или случайной передачи (распространения, доступа) персональных данных:

• в течение 24 часов Общество уведомляет уполномоченный орган о факте инцидента, его предполагаемых причинах, последствиях и принятых мерах;
• в течение 72 часов — направляет результаты внутреннего расследования и сведения о причастных лицах (при наличии).

9.6. В случае достижения цели обработки персональных данных, Общество прекращает обработку и уничтожает персональные данные (или обеспечивает это при переданной обработке) в течение 30 дней, если иное не предусмотрено договором или законом.

9.7. В случае отзыва согласия на обработку персональных данных, Общество прекращает их обработку (или обеспечивает прекращение) и уничтожает данные в течение 30 дней, при условии отсутствия оснований для их дальнейшего хранения.

9.8. При обращении субъекта персональных данных с требованием о прекращении обработки, Общество обязано в срок до 10 рабочих дней (с возможным продлением до 5 рабочих дней с мотивированным уведомлением) прекратить обработку, если это не противоречит основаниям, предусмотренным законом.

9.9. Если уничтожение персональных данных в установленные сроки невозможно, Общество блокирует их и обеспечивает уничтожение не позднее 6 месяцев, если иное не предусмотрено федеральным законом.

10. Ключевые результаты

• обеспечение защиты прав и свобод субъектов персональных данных при их обработке;
• повышение уровня информационной безопасности;
• минимизация юридических рисков.

10. Связные политики

Связные политики отсутствуют.