Политика в отношении обработки персональных данных

1. Общие положения
1.1. Настоящая политика в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, и определяет политику Оператора персональных данных в отношении обработки персональных данных, сбор которых осуществляется с использованием сайта https://ki-to.ru/ (далее – «Сайт»), и содержит в себе сведения о реализуемых Оператором требованиях к защите таких персональных данных.
1.2. Правовыми основаниями обработки персональных данных являются нормативные правовые акты Российской Федерации, локальные нормативные акты Оператора, договоры с субъектами персональных данных, согласия субъектов персональных данных на обработку персональных данных.
1.3. Оператор осуществляет обработку персональных данных следующих категорий субъектов, чьи персональные данные могут быть собраны Оператором с использованием Сайта:

• незарегистрированные пользователи;
• зарегистрированные пользователи;
• получатели товаров и услуг, реализуемых на Сайте (не являющиеся зарегистрированными пользователями).

1.4. Основные понятия, используемые в Политике:

• Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• Оператор персональных данных (Оператор) – Индивидуальный предприниматель Баранов Иван Сергеевич, владелец доменного имени https://ki-to.ru/, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• Сайт – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети Интернет. Все страницы веб-сайта, размещенные в сети Интернет по адресу: https://ki-to.ru/. Предназначен для оформления заказов на доставку товаров, управления учетной записью, получения персонализированных предложений.

2. Условия обработки персональных данных
2.1. Обработка персональных данных осуществляется с соблюдением конфиденциальности.
2.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных или без такого согласия в случаях, предусмотренных федеральным законом.
2.3. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, извлечение персональных данных субъектов персональных данных при сборе персональных данных осуществляются с использованием баз данных, находящихся на территории Российской Федерации.
2.4. Лица, получившие доступ к персональным данным, обязаны сохранять конфиденциальность и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. Принципы обработки персональных данных:

• 3.1. соблюдение законных прав субъектов персональных данных при обработке их персональных данных;
• 3.2. осуществление обработки персональных данных для достижения конкретных, заранее определенных и законных целей;
• 3.3. недопущение обработки персональных данных, несовместимой с целями обработки персональных данных: избыточны или содержатся в базах данных, цели обработки которых несовместимы;
• 3.4. обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
• 3.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
• 3.6. уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

4. Способы достижения цели при обработке персональных данных:

• 4.1. Обеспечение защищенности информационных систем персональных данных от воздействия актуальных угроз безопасности персональных данных с учетом оценки вреда субъектам персональных данных.
• 4.2. Применение комплекса организационных и технических мер по обеспечению безопасности персональных данных необходимых для выполнения требований законодательства к защите персональных данных при их обработке в информационных системах персональных данных, а также без использования средств автоматизации.
• 4.3. Систематический контроль соответствия обработки персональных данных требованиям законодательства и локальным нормативным актам.
• 4.4. Проведение мероприятий по информированию и обучению персонала правилам обработки и защиты персональных данных.
• 4.5. Неотвратимость наступления ответственности за нарушение настоящей Политики.

5. Цели использования персональных данных пользователей сайта:
5.1. Регистрация пользователя
Категории персональных данных: ФИО, email, телефон, пароль.
Правовое основание: Согласие пользователя (ст. 6 ФЗ-152).
Срок хранения: До удаления аккаунта.
5.2. Оформление Заказа, исполнение Заказа, контроль статуса Заказа
Категории персональных данных: ФИО, телефон, email, адрес доставки, информация о деталях Заказа, платежные реквизиты.
Правовое основание: Согласие пользователя и исполнение договора оферты.
Срок хранения: 5 лет (налоговое законодательство).
Примечание: Платежные данные не хранятся на наших серверах, обработка осуществляется платежными операторами.
5.3. Подписка на рассылку
Категории персональных данных: Имя, email, телефон.
Правовое основание: Согласие пользователя.
Срок хранения: До отписки.
5.4. Обратная связь
Категории персональных данных: Имя, email, телефон, текст сообщения.
Правовое основание: Согласие пользователя.
5.5. Обеспечение участия в программе лояльности
Категории персональных данных: Имя, email, телефон, данные об учетной записи (аккаунте) на Сайте; иные необходимые для указанной цели сведения.
Правовое основание: Правила бонусной программы лояльности.
Срок хранения: До удаления аккаунта.
5.6. Аналитика и улучшение работы сайта
Категории персональных данных: IP-адрес, метаданные, данные cookie-файлов, cookie-идентификаторы, IP-адреса, сведения о браузере и операционной системе, идентификатор мобильного устройства.
Правовое основание: Согласие пользователя.
Срок хранения: До обезличивания или блокировки.
5.7. Публикация отзывов на Сайте
Категории персональных данных: Имя, текст сообщения, фото.
Правовое основание: Согласие пользователя.
5.8. Урегулирование спорных ситуаций и претензий
Категории персональных данных: ФИО, телефон, email.
Правовое основание: Согласие пользователя.
5.9. Информирование о новых товарах, акциях, специальных предложениях и скидках. Напоминание о ранее сделанных заказах. Уведомление о поступлении товаров в наличии. Обратная связь, включая отправку уведомлений, запросов и информации, связанной с использованием сайта. Продвижение товаров и услуг с помощью прямых коммуникаций.
Категории персональных данных: ФИО, телефон, email, иные данные, необходимые для урегулирования претензий.
Правовое основание: Согласие пользователя.
5.10. Отправка заявки на франшизу
Категории персональных данных: ФИО, телефон, email, город.
Правовое основание: Согласие на обработку персональных данных.
5.11. Отправка отклика на вакансии компании
Категории персональных данных: ФИО, телефон, email, желаемая должность, иные данные, отправляемые пользователем.
Правовое основание: Согласие пользователя.

6. Права и обязанности Оператора персональных данных и субъектов персональных данных
6.1. Оператор персональных данных субъектов вправе:

• 6.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ;
• 6.1.2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• 6.1.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• 6.1.4. получать от субъекта персональных данных достоверную информацию в отношении предоставленных им персональных данных;
• 6.1.5. запрашивать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

6.2. Оператор персональных данных субъектов обязуется:

• 6.2.1. организовывать обработку и защиту персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• 6.2.2. давать ответы на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями законодательства РФ;
• 6.2.3. обрабатывать персональные данные в порядке, установленном настоящей Политикой в отношении обработки персональных данных и действующим законодательством РФ;
• 6.2.4. предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
• 6.2.5. принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями, а также при достижении целей обработки персональных данных;
• 6.2.6. нести иные обязанности в соответствии с требованиями законодательства Российской Федерации.

6.3. Субъекты персональных данных вправе:

• 6.3.1. получать информацию об их персональных данных, обрабатываемых Оператором, путем направления письменного запроса на электронный адрес info@ki-to.ru. Сведения предоставляются Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• 6.3.2. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• 6.3.3. Субъект персональных данных по вопросам обработки, хранения, уточнения и уничтожения его персональных данных может обратиться к Оператору с соответствующим запросом по электронной почте info@ki-to.ru.

6.4. Субъекты персональных данных обязуются:

• 6.4.1. предоставлять Оператору только достоверные данные и информацию;
• 6.4.2. сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

7. Порядок сбора и хранения персональных данных
7.1. Обрабатываемые персональные данные пользователей Сайта, а также получателей товаров и услуг, реализуемых на Сайте, включают в себя всю информацию, предоставляемую Оператору пользователями с использованием Сайта, в том числе путем заполнения соответствующих полей данных субъекта персональных данных на Сайте, среди которых:

• фамилия, имя, отчество;
• номер мобильного телефона;
• адрес электронной почты (e-mail);
• адрес доставки товаров, реализуемых на Сайте;
• история заказов, реализуемых на Сайте;
• история запросов и просмотров на Сайте;
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).

7.2. Оператор может осуществлять обработку персональных данных с использованием средств автоматизации или без использования таких средств путем сбора, записи, систематизации, накопления, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступа), блокирование, удаление, уничтожение.
7.3. Оператор вправе передавать персональные данные третьим лицам либо поручать обработку персональных данных третьим лицам, если это будет необходимо для достижения цели их обработки в соответствии с настоящей Политикой, а также в случаях, предусмотренных действующим законодательством Российской Федерации о персональных данных.
7.4. Оператор будет осуществлять обработку персональных данных не дольше, чем этого требуют цели их обработки, если иные сроки не предусмотрены действующим законодательством Российской Федерации о персональных данных.
7.5. Лица, передавшие Оператору сведения о другом Субъекте персональных данных, в том числе через Сайт, не имея при этом согласия субъекта, чьи персональные данные были переданы, несут ответственность в соответствии с законодательством Российской Федерации.

8. Защита персональных данных
8.1. Оператор ответственно подходит к вопросу защиты собранных персональных данных реализует требования к их защите путем принятия комплекса мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством Российском Федерации о персональных данных.
8.2. При этом Оператор не несет ответственности за получение третьими лицами персональных данных путем получения доступа к личному кабинету зарегистрированных пользователей. Зарегистрированные пользователи Сайта обязаны самостоятельно обеспечивать сохранность данных для доступа к своему личному кабинету.

9. Согласие на обработку персональных данных и применимые оговорки
9.1. Пользователь Сайта свободно, своей волей и в своем интересе предоставляет Оператору свои персональные данные.
9.2. Принимая условия настоящей Политики, пользователь Сайта настоящим подтверждает, что предоставленные им персональные данные являются достоверными. Оператор исходит из того, что пользователь Сайта предоставляет достоверные персональные данные и поддерживает их в актуальном состоянии.
9.3. Заполняя поля данных, предусмотренные на Сайте, пользователь Сайта принимает настоящую Политику и дает свое согласие на обработку его персональных данных в порядке и на условиях, указанных в настоящей Политике.
9.4. Заполняя поля данных в отношении получателей товаров и услуг, реализуемых на Сайте, пользователь Сайта гарантирует наличие согласия таких получателей товаров и услуг на обработку их персональных данных в порядке и на условиях, указанных в настоящей Политике. В этом случае пользователь Сайта также обязуется уведомить таких получателей товаров и услуг, реализуемых посредством Сайта, о передаче их персональных данных Оператору и гарантирует такое уведомление.
9.5. Принимая условия настоящей Политики, пользователь Сайта подтверждает, что ему известны его права и обязанности, предусмотренные действующим законодательством Российской Федерации о персональных данных, в частности, право на доступ к своим персональным данным, на отзыв своего согласия на обработку персональных данных.
9.6. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных. Субъект персональных данных может отозвать согласие на обработку своих персональных данных путем направления письменного обращения в порядке подпункта 6.3.3. настоящей Политики.
9.7. Если пользователь Сайта не намерен предоставлять персональные данные или не принимает настоящую Политику, то он должен прекратить использование Сайта, в этом случае Оператор не сможет обеспечить пользователю использование Сайта.

10. Сбор и обработка иной информации (использование рекомендательных технологий)
10.1. Оператор может осуществлять сбор информации о посещении Сайта пользователями без предоставления соответствующей информации самими пользователями. Такая информация может быть получена с помощью различных методов, средств и инструментов интернет-статистики и настройки (в частности, файлов Cookie, сервиса Яндекс.Метрика, Google Analytics). Оператор может использовать такие методы, средства и инструменты для продвижения товаров и услуг, реализуемых посредством Сайта, предоставления информации о реализуемых товарах и услугах путем предоставления целевой рекламы, а также повышения удобства использования Сайта.
10.2. Если пользователь Сайта не согласен с тем, что файлы Cookie сохраняются на его устройстве, он может самостоятельно отключить эту опцию в настройках браузера. Сохраненные файлы Cookie также можно удалить в любое время в системных настройках браузера. Пользователь Сайта может изменить настройки браузера, чтобы принимать или отклонять по умолчанию все файлы Cookie, либо файлы Cookie с определенных сайтов, включая Сайт.
10.3. Отключение некоторых файлов Cookie может привести к тому, что использование отдельных разделов или функций Сайта станет невозможным.

11. Уничтожение персональных данных
11.1. При достижении целей обработки персональных данных, истечении срока действия согласия на обработку персональных данных, а также в случае отзыва субъекта персональных данных согласия на обработку, персональные данные подлежат уничтожению, если иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных, или положениями законодательства РФ.
11.2. В случае если обработка персональных данных осуществляется Оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
11.3. В случае если обработка персональных данных осуществляется Оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
11.4. В случае если обработка персональных данных осуществляется Оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
11.5. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

12. Заключительные положения
12.1. Настоящая Политика подлежит изменению или дополнению в случаях внесения соответствующих изменений или дополнений в действующее законодательство Российской Федерации о персональных данных, а также может быть изменена в любое время по усмотрению Оператора. Действующая редакция Политики Оператора всегда доступна для просмотра неограниченным кругом лиц на Сайте.
12.2. Все отношения с участием Оператора, касающиеся обработки и защиты персональных данных и не получившие непосредственного отражения в настоящей Политике, регулируются согласно положениям действующего законодательства Российской Федерации о персональных данных.