Политика конфиденциальности (об обработке и защите персональных данных)

1. Общие положения
1.1. Настоящая Политика ООО «Дизайн-бюро» (ОГРН 1177847191477, ИНН 7810689279, юридический адрес: г. Санкт-Петербург, наб. реки Карповки, д.20, лит. В, пом.1-Н, ком.4-Н, электронная почта: info@palatygallery.ru ) в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении персональных данных, которые обрабатывает Оператор через сайт https://palatygallery.ru/ (далее – Сайт), а также в рамках заключения и исполнения договоров.
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на Сайте Оператора по адресу: https://palatygallery.ru/privacy.
2. Термины и принятые сокращения
В настоящей Политике используются термины, определенные в статье 3 Федерального закона «О персональных данных», в том числе:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (Оператор) – ООО «Дизайн-бюро», самостоятельно организующее и осуществляющее обработку персональных данных, определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Файлы cookie – небольшие текстовые файлы, размещаемые на устройстве пользователя при посещении сайта, позволяющие идентифицировать устройство и анализировать действия пользователя.
3. Порядок и условия обработки и хранения персональных данных
3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
3.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. В настоящее время Оператор не осуществляет обработку персональных данных, разрешенных для распространения, в связи с отсутствием необходимости.
3.4. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.5. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
3.6. Обработка персональных данных осуществляется путем:

• получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• автоматизированного сбора обезличенной информации с использованием сервисов интернет-статистики (Яндекс.Метрика и др.) на Сайте;
• использования иных способов обработки персональных данных, не противоречащих законодательству.

3.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.8. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
3.9. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.
3.10. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.
3.11. При сборе персональных данных, в том числе посредством сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
3.12. Виды данных и цели обработки персональных данных
3.12.1. Виды персональных данных, которые обрабатывает Оператор:

• фамилия, имя;
• номер телефона;
• адрес электронной почты;
• адрес доставки (при оказании услуг с физической доставкой);
• данные об использовании Сайта, включая файлы cookie, IP-адрес, информацию о браузере и операционной системе, данные о посещенных страницах и переходах (обезличенные данные).

3.12.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Обработка персональных данных осуществляется в следующих целях:

• обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
• заключение, исполнение и прекращение гражданско-правовых договоров с клиентами, контрагентами и иными лицами;
• предоставление доступа к сервисам, информации и материалам, содержащимся на Сайте;
• информирование Пользователя о новых продуктах, услугах, специальных предложениях и событиях (при наличии согласия на получение рассылок);
• получение обратной связи, отзывов и рекомендаций;
• улучшение работы Сайта, анализ поведения посетителей, обеспечение безопасности и предотвращение мошенничества.

3.13. Категории субъектов персональных данных
Обрабатываются персональные данные следующих категорий субъектов:

• физические лица, состоящие с Оператором в гражданско-правовых отношениях (клиенты, заказчики, контрагенты);
• посетители Сайта;
• лица, направившие обращение через формы обратной связи или электронную почту.

3.14. Хранение персональных данных
3.14.1. Персональные данные могут храниться как на бумажных носителях, так и в электронном виде.
3.14.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.14.3. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся в информационных системах с разграничением прав доступа.
3.14.4. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законом (например, сроки хранения документов, установленные налоговым или трудовым законодательством).
3.15. Уничтожение персональных данных
3.15.1. Уничтожение документов (носителей), содержащих персональные данные, производится способом, исключающим возможность их восстановления (сожжение, дробление, химическое разложение, шредирование и т.п.).
3.15.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя с подтверждением факта уничтожения.
3.15.3. Факт уничтожения персональных данных фиксируется актом об уничтожении носителей или иным документом.
4. Защита персональных данных
4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), включающая правовые, организационные и технические меры.
4.2. Основными мерами защиты персональных данных, используемыми Оператором, являются:

• определение актуальных угроз безопасности персональных данных при их обработке;
• разработка и утверждение политики в отношении обработки персональных данных;
• установление правил доступа к персональным данным, обеспечение регистрации и учета действий с ними;
• применение средств защиты информации, прошедших процедуру оценки соответствия (при необходимости);
• использование сертифицированного антивирусного программного обеспечения;
• организация пропускного режима и хранения материальных носителей;
• проведение внутреннего контроля и аудита.

5. Основные права субъекта персональных данных и обязанности Оператора
5.1. Права субъекта персональных данных
Субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в порядке, установленном статьей 14 Закона о персональных данных;
• требовать уточнения, блокирования или уничтожения его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

Оператор обязан предоставить субъекту персональных данных ответ на запрос в течение 10 рабочих дней с даты получения запроса, если иной срок не установлен законом (например, для запросов о трансграничной передаче – 30 дней).
5.2. Обязанности Оператора
Оператор обязан:

• предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• организовать обработку персональных данных в порядке, установленном действующим законодательством;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей;
• сообщать в Роскомнадзор по его запросу необходимую информацию в течение 30 дней;
• публиковать настоящую Политику в открытом доступе;
• принимать меры по защите персональных данных от неправомерного доступа, уничтожения, изменения, блокирования и иных несанкционированных действий;
• прекратить обработку и уничтожить персональные данные в установленных законом случаях.

6. Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов
6.1. Для реализации своих прав субъект персональных данных может направить Оператору запрос в форме электронного документа на адрес электронной почты: info@palatygallery.ru.
6.2. Запрос должен содержать:

• сведения, позволяющие идентифицировать субъекта (фамилия, имя, отчество, номер основного документа, удостоверяющего личность, сведения о дате выдачи и выдавшем органе);
• информацию, подтверждающую участие субъекта в отношениях с Оператором (номер договора, дата заключения, адрес электронной почты, использованный при обращении, и т.п.), либо иные сведения, подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта или его представителя (для электронного запроса – электронная подпись в соответствии с законодательством).

6.3. В случае выявления неточных персональных данных Оператор осуществляет блокирование таких данных на период проверки (не более 7 рабочих дней) и уточняет их на основании документов, представленных субъектом.
6.4. При отзыве субъектом персональных данных согласия на обработку Оператор обязан прекратить обработку и уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором или законом.
6.5. При достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению, если иное не установлено федеральным законом.
7. Обработка файлов cookie и сервисов интернет-статистики
7.1. Сайт Оператора использует файлы cookie и сервисы интернет-статистики (Яндекс.Метрика и аналоги) для сбора обезличенной информации о действиях посетителей, улучшения работы сайта и анализа его использования.
7.2. Информация, собираемая с помощью cookie, не позволяет идентифицировать посетителя, если только он самостоятельно не предоставил свои персональные данные (например, заполнив форму обратной связи).
7.3. Продолжая использовать Сайт, посетитель соглашается на обработку файлов cookie в соответствии с настройками своего браузера. Пользователь может отключить cookie в настройках браузера в любое время, однако это может повлиять на функциональность Сайта.
7.4. Оператор может передавать обезличенные данные о посещаемости Сайта сервисам аналитики (например, ООО «Яндекс», 119021, Россия, г. Москва, ул. Льва Толстого, д. 16) для обработки в порядке, установленном условиями использования соответствующих сервисов. Яндекс обрабатывает полученные данные на серверах, расположенных в том числе на территории Российской Федерации в целях оценки использования сайта и составления отчетов.
8. Трансграничная передача персональных данных
8.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу, обеспечивается надежная защита прав субъектов персональных данных.
8.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих требованиям надежной защиты, может осуществляться только при наличии письменного согласия субъекта персональных данных или в иных предусмотренных законом случаях.
8.3. В настоящее время Оператор не осуществляет трансграничную передачу персональных данных.
9. Заключительные положения
9.1. Пользователь может получить любые разъяснения по вопросам обработки его персональных данных, обратившись к Оператору по электронной почте: info@palatygallery.ru .
9.2. В настоящую Политику могут быть внесены изменения. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией.
9.3. Актуальная версия Политики находится в свободном доступе в сети Интернет по адресу: https://palatygallery.ru/privacy.
7. Реквизиты Оператора:
Общество с ограниченной ответственностью «Дизайн-Бюро»
Юридический адрес: 197022, г. Санкт-Петербург, наб. реки Карповки, д.20, лит. В, пом.1-Н, компн.4-Н
ИНН 7810689279 / КПП 781301001 / ОГРН 1177847191477