Политика безопасности

1

ПОЛИТИКА

вотношенииобработкиперсональныхданных

1. Общиеположения

1.1.НастоящаяПолитикавотношенииобработкиперсональныхданных(далее–«Политика») подготовлена в

соответствии с п. 2 ч .1 ст. 18.1Федерального закона РоссийскойФедерации «О персональныхданных»№152-ФЗот

27июля2006года(далее–«Закон»)иопределяетпозициюИП Шапиро Наталья Валерьевна (ОГРНИП:

313774635100226,адресрегистрации:125475, Москва, ул. Петрозаводская, 28-3-13)и/илиегоаффилированныхлиц,

(далее–

«Компания»)вобластиобработкиизащитыперсональныхданных(далее–«Данные»),соблюдения прави свобод

каждого человекаи, вособенности, права на неприкосновенность частнойжизни, личнуюисемейнуютайну.

2. Область применения

2.1. НастоящаяПолитика распространяется наДанные, полученные как до,так и после ввода в действие

настоящей Политики.

2.2. Понимая важность и ценность Данных, а также заботясь о соблюдении конституционных прав граждан

Российской Федерации и граждан других государств, Компания обеспечивает надежную защитуДанных.

3. Определения

3.1. ПодДанными понимается любая информация, относящаяся к прямо или косвенно определенномуили

определяемомуфизическому лицу (гражданину),т.е. к такой информации, в частности,относятся:фамилия,

имя,отчество,адресрегистрации/отправкикорреспонденции, электроннаяпочта,номертелефона

3.2. ПодобработкойДанных понимается любое действие (операция)или совокупность действий (операций) с

Данными, совершаемых с использованиемсредств автоматизации и/или без использования таких средств. К

такимдействиям(операциям) относятся: сбор, запись, систематизация,накопление,хранение,уточнение

(обновление,изменение),извлечение, использование,передача(распространение,предоставление,доступ),

обезличивание, блокирование,удаление,уничтожениеДанных.

3.3. Под безопасностьюДанных понимается защищенностьДанныхот неправомерного и/или

несанкционированногодоступакним,уничтожения,изменения,блокирования,копирования, предоставления,

распространенияДанных, а также от иных неправомерных действий в отношении Данных.

4. Правовые основания и цели обработки Данных

4.1. Обработка и обеспечение безопасностиДанных в Компании осуществляется в соответствии с

требованиями Конституции РоссийскойФедерации, Закона, Трудового кодекса Российской Федерации,

подзаконных актов, другихопределяющих случаи и особенности обработкиДанных федеральных законов

РоссийскойФедерации, руководящихиметодических документовФСТЭК РоссиииФСБРоссии.

4.2.Субъектами Данных, обрабатываемых Компанией, являются:

клиенты – потребители, в т.ч. посетители сайта https://orchidee.su, принадлежащего

2

Компаниив томчислесцельюоформления заказанаСайтеhttps://orchidee.su споследующей доставкой

клиенту, получатели услуг;,

4.3. Компания осуществляет обработку Данных субъектов в следующих целях:

осуществления возложенных на Компанию законодательством Российской Федерации функций,

полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь:

Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым

кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от

01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного

пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе»,

Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в

Российской Федерации», Федеральным законом от 8.02.1998 г. №14-ФЗ «Об обществах с ограниченной

ответственностью», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей»,

Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от

29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»,

Клиентов – потребителей в целях:

1 предоставленияинформациипо товарам/услугам, проходящимакциямиспециальным

предложениям;

2 анализа качества предоставляемого Компанией сервиса и улучшению качества

обслуживанияклиентовКомпании;

3 информированияостатусезаказа;

4 исполнениядоговора,вт.ч.договоракупли-продажи,в.т.ч. заключенногодистанционным способомна

Сайте, возмездного оказания услуг; предоставления услуг, а также учета оказанных потребителямуслуг

для осуществления взаиморасчетов;

5 доставки заказанного товара клиенту, совершившему заказ на Сайте, возврата товара.

5.Принципы и условия обработки Данных

5.1. ПриобработкеДанныхКомпания придерживается следующих принципов:обработкаДанных

осуществляется на законной и справедливой основе;Данные не раскрываются третьимлицами не

распространяются без согласия субъектаДанных, за исключениемслучаев,требующих раскрытия Данныхпо

запросууполномоченныхгосударственныхорганов, судопроизводства;определение конкретных законных

целей до началаобработки (в т.ч. сбора)Данных; ведется сбор только тех Данных, которые являются

необходимымиидостаточнымидлязаявленнойцелиобработки; объединение баз данных, содержащих

Данные, обработка которых осуществляется в целях, несовместимых между собой не допускается; обработка

Данных ограничивается достижением конкретных, заранееопределенныхи законныхцелей; обрабатываемые

Данныеподлежат уничтожениюили обезличиваниюподостижениюцелей обработкиили в случае утраты

необходимости в достижении этих целей, если иное не предусмотрено федеральнымзаконом.

5.2. Компанияможет включать Данные субъектов в общедоступные источники Данных, при этом Компания

берет письменное согласие субъекта на обработку его Данных, либо путемвыражения согласия через форму

сайта (чекбокс), нажатиемкоторого субъект персональных данных выражает свое согласие.

5.3. Компания не осуществляетобработкуДанных, касающихся расовой, национальной принадлежности,

политических взглядов, религиозных,философскихи иных убеждений, интимной жизни, членства в

общественныхобъединениях, в томчисле в профессиональных союзах.

5.4. БиометрическиеДанные(сведения, которыехарактеризуютфизиологическиеибиологические

3

особенности человека, на основании которых можно установить его личность и которые

используются оператором для установления личности субъекта Данные) в Компании не

обрабатываются.

5.5. Компания не осуществляеттрансграничнуюпередачуДанных.

5.6. Вслучаях, установленных законодательствомРоссийскойФедерации,Компания вправе осуществлять

передачуДанных третьимлицам(федеральной налоговой службе,государственному пенсионномуфонду и иным

государственныморганам) в случаях, предусмотренных законодательствомРоссийскойФедерации.

5.7. Компания вправе поручить обработку Данных субъектов Данных третьимлицамс согласия субъектаДанных,

на основании заключаемого с этими лицами договора, в томчисле при согласии с пользовательскимсоглашением

и политики обработки персональных данных размещенных на сайте.

5.8. Лица,осуществляющиеобработкуДанныхнаоснованиизаключаемогосКомпаниейдоговора (поручения

оператора),обязуютсясоблюдатьпринципыиправилаобработкиизащитыДанных, предусмотренные

Законом. Для каждого третьего лица в договоре определяются перечень действий (операций) сДанными,

которые будут совершаться третьимлицом, осуществляющим обработкуДанных, цели обработки,

устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность

Данных при ихобработке, указываются требования к защите обрабатываемыхДанных в соответствии с

Законом.

5.9. В целях исполнения требований действующего законодательства РоссийскойФедерации и своих

договорных обязательств обработкаДанных в Компании осуществляется как с использованием,такибез

использования средств автоматизации. Совокупность операций обработкивключаетсбор, запись,

систематизацию,накопление,хранение,уточнение(обновление, изменение),извлечение,использование,

передачу(предоставление,доступ),обезличивание, блокирование,удаление,уничтожениеДанных.

5.10. ВКомпании запрещаетсяпринятие наоснованииисключительно автоматизированной обработки

Данных решений, порождающих юридические последствия в отношении субъекта Данных или иным

образомзатрагивающих его праваи законные интересы, за исключением случаев, предусмотренных

законодательствомРоссийскойФедерации.

6. Права и обязанности субъектов Данных, а также Компании в части обработки Данных

6.1. Субъект,ДанныекоторогообрабатываютсяКомпанией,имеетправо:

- получать от Компании:

подтверждение факта обработки Данных и сведения о наличии Данных, относящихся к

соответствующему субъекту Данных;

сведенияоправовыхоснованияхицеляхобработкиДанных; сведенияо

применяемыхКомпаниейспособахобработкиДанных; сведения о

наименовании и местонахождении Компании;

сведения о лицах (за исключениемработников Компании), которыеимеют доступ кДанным или которым

могут быть раскрытыДанные на основании договора с Компанией или на основаниифедеральногозакона;

перечень обрабатываемыхДанных, относящихся к субъектуДанных, и информациюоб источникеих

получения, если иной порядок предоставления такихДанных не предусмотрен федеральнымзаконом;

4

сведения о сроках обработкиДанных, в томчисле о сроках их хранения;

сведения о порядке осуществления субъектомДанных прав, предусмотренных Законом; наименование

(Ф.И.О.)иадреслица,осуществляющегообработкуДанныхпопоручению

Компании;

иные сведения, предусмотренные Закономили другими нормативно-правовыми актами Российской

Федерации;

- требовать от Компании:

уточнения своихДанных,ихблокированияилиуничтожения в случае, еслиДанные являютсянеполными,

устаревшими,неточными,незаконнополученнымиилинеявляются необходимымидлязаявленнойцели

обработки;

отозвать свое согласие на обработкуДанных в любоймомент; требовать устранения неправомерных

действий Компании вотношении егоДанных;

обжаловать действия или бездействие Компании вФедеральную службу по надзору в сфересвязи,

информационных технологийимассовых коммуникаций(Роскомнадзор)или в судебномпорядке в

случае, если субъект Данных считает, что Компания осуществляет обработку его Данных с нарушением

требований Закона или инымобразомнарушает его праваисвободы;

- на защиту своих прав и законных интересов, в томчисле на возмещения убытков и/или компенсацию

морального вреда в судебномпорядке.

6.2. Компания в процессе обработки Данных обязана:

предоставлять субъектуДанных по его запросу информацию, касающуюся обработки его ПДн, либо на

законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта

Данных или его представителя;

разъяснить субъекту Данных юридические последствия отказа предоставить Данные, если

предоставлениеДанных является обязательнымв соответствии сфедеральнымзаконом;

до начала обработкиДанных (еслиДанные полученыне от субъектаДанных) предоставить субъекту

Данных следующуюинформацию, заисключениемслучаев,предусмотренных частью 4 статьи 18 Закона:

1) наименование либофамилия, имя, отчество и адрес Компании или ее представителя;

2) цельобработкиДанныхиееправовоеоснование;

3) предполагаемыепользователиДанных;

4) установленные Закономправа субъектовДанных;

5) источникполученияДанных.

принимать необходимые правовые, организационныеи техническиемерыилиобеспечивать их принятие

для защиты Данных от неправомерного или случайного доступа к ним, уничтожения,изменения,

блокирования,копирования,предоставления,распространения Данных, а также от иных неправомерных

действий в отношенииДанных;

опубликовать в сети Интернет и обеспечить неограниченный доступ с использованиемсети Интернет к

документу, определяющему его политику в отношении обработки Данных, к сведениямо реализуемых

требованиях к защитеДанных;

предоставить субъектамДанных и/или их представителямбезвозмездно возможность ознакомления с

Данными при обращении с соответствующимзапросомв течение 30 дней с датыполученияподобного

запроса;

осуществитьблокирование неправомерно обрабатываемыхДанных,относящихся к субъектуДанных,

или обеспечить ихблокирование (если обработкаДанныхосуществляется другимлицом, действующимпо

поручениюКомпании) смоментаобращения или получения

5

запросанапериодпроверки,вслучаевыявлениянеправомернойобработкиДанныхпри обращении

субъекта Данных или его представителя либо по запросу субъекту Данных или его представителя либо

уполномоченного органа по защите прав субъектов персональных данных;

уточнитьДанные либо обеспечить их уточнение (если обработкаДанных осуществляется другимлицом,

действующимпо поручениюКомпании) в течение 7 рабочих дней со дня представления сведений и снять

блокирование Данных, в случае подтверждения факта неточностиДанных на основании сведений,

представленных субъектомДанных или его представителем;

прекратить неправомернуюобработкуДанныхили обеспечить прекращение неправомерной

обработкиДанныхлицом,действующимпопоручениюКомпании,вслучае выявлениянеправомерной

обработкиДанных,осуществляемойКомпаниейилилицом,

действующимнаоснованиидоговора с Компанией, в срок, не превышающий 3 рабочих дней с датыэтого

выявления;

прекратить обработкуДанных или обеспечить ее прекращение (если обработкаДанных осуществляется

другимлицом, действующимпо договору с Компанией) и уничтожить Данные или обеспечить их

уничтожение (если обработкаДанных осуществляется другим лицом, действующимпо договору с

Компанией) по достижения цели обработкиДанных, если иное непредусмотрено договором, стороной

которого, выгодоприобретателемили поручителемпо которому является субъектДанных, в случае

достижения цели обработки Данных;

прекратить обработку Данных или обеспечить ее прекращение и уничтожить Данные или обеспечить их

уничтожение в случае отзыва субъектомДанных согласия на обработку Данных, если Компания не вправе

осуществлять обработку Данных без согласия субъекта Данных;

вестижурнал учета обращений субъектовПДн, в которомдолжныфиксироваться запросы субъектов

Данных на получение Данных, а также факты предоставленияДанных по этим запросам.

7. ТребованиякзащитеДанных

7.1. КомпанияприобработкеДанныхпринимаетнеобходимыеправовые,организационныеи технические

мерыдля защитыДанных от неправомерного и/или несанкционированного доступа к ним,уничтожения,

изменения,блокирования,копирования,предоставления,распространения Данных, а также от иных

неправомерных действий в отношенииДанных.

7.2. К таким мерам в соответствии с Законом, в частности, относятся:

назначение лица,ответственногозаорганизациюобработкиДанных, илица, ответственногоза

обеспечениебезопасностиДанных;

разработкаи утверждение локальных актов по вопросамобработки и защитыДанных; применение

правовых,организационныхитехническихмерпообеспечениюбезопасности

Данных:

· определение угроз безопасностиДанных при ихобработке в информационных системах

персональныхданных;

· применение организационныхи техническихмер по обеспечениюбезопасностиДанных при их

обработке в информационных системах персональных данных, необходимых для выполнения требований

к защитеДанных,исполнениекоторыхобеспечивает установленные ПравительствомРоссийской

ФедерацииуровнизащищенностиДанных;

· применение прошедших в установленномпорядке процедуру оценки соответствия средств

защитыинформации;

· оценка эффективности принимаемыхмер по обеспечениюбезопасностиДанных до ввода

6

в эксплуатациюинформационнойсистемыперсональныхданных;

· учетмашинных носителейДанных, если хранениеДанных осуществляется намашинных носителях;

· обнаружение фактов несанкционированного доступа кДанными принятиемер по

недопущениюподобныхинцидентов в дальнейшем;

· восстановлениеДанных,модифицированныхилиуничтоженныхвследствие

несанкционированного доступа к ним;

· установлениеправилдоступа кДанным,обрабатываемымвинформационнойсистеме

персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с

Данными винформационной системе персональныхданных.

контроль за принимаемымимерами по обеспечениюбезопасностиДанныхи уровнем защищенности

информационныхсистемперсональныхданных;

оценка вреда, который может быть причинен субъектамДанных в случае нарушения требований Закона,

соотношение указанного вредаи принимаемыхКомпаниеймер, направленныхнаобеспечение

выполненияобязанностей,предусмотренныхЗаконом;

соблюдение условий, исключающихнесанкционированный доступ кматериальным носителямДанныхи

обеспечивающихсохранностьДанных;

ознакомление работниковКомпании,непосредственноосуществляющихобработкуДанных, с

положениями законодательства РоссийскойФедерации о Данных, в томчисле с требованиями к защите

Данных, локальными актами по вопросамобработки и защиты Данных,иобучениеработниковКомпании.

8. Срокиобработки(хранения)Данных

8.1. Срокиобработки(хранения)ДанныхопределяютсяисходяизцелейобработкиДанных, в соответствии со

срокомдействия договора с субъектомДанных,требованиями федеральных законов,требованиямиоператоров

Данных,попоручениюкоторыхКомпанияосуществляет обработкуДанных,основнымиправиламиработы

архивоворганизаций, срокамиисковойдавности.

8.2. Данные, срок обработки (хранения) которыхистек, должныбыть уничтожены, если иное не

предусмотренофедеральнымзаконом. ХранениеДанных после прекращения их обработки допускается

только послеихобезличивания.

9. Порядок получения разъяснений по вопросам обработки Данных

9.1. Лица, чьиДанныеобрабатываютсяКомпанией,могутполучитьразъяснения повопросам обработкисвоих

Данных,обратившись личновКомпаниюилинаправив соответствующий письменный запрос по адресу

местонахождения Компании: 125475, Москва, ул. Петрозаводская, 28-3-13

9.2. Вслучае направления официального запроса вКомпанию в тексте запроса необходимо указать:

фамилию, имя, отчество субъектаДанныхили его представителя;

номер основного документа, удостоверяющего личность субъекта Данных или его представителя,

сведения о дате выдачи указанного документа и выдавшем его органе;

сведения, подтверждающие наличие у субъектаДанных отношений с Компанией;

информациюдляобратной связисцельюнаправления Компаниейответана запрос;

подпись субъектаДанных (или его представителя). Если запрос отправляется в электронномвиде,то он

должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии

с законодательствомРоссийскойФедерации.

7

10. Особенности обработки и защиты Данных, собираемых Компанией с использованием сети Интернет

10.1. Компания обрабатывает Данные, поступающие от пользователей Cайта с ресурса: :https://orchidee.su (далее

совместно – Cайт), а также поступающие на телефон Компании:

8 800 555-46-59,на адрес электроннойпочтыКомпании:info@orchidee.su, черезформуобратной связиКомпании,

расположеннуюпоадресу:https://orchidee.su.

10.2. Сбор Данных

Существуютдваосновных способа, с помощьюкоторыхКомпания получаетДанные с помощью сети

Интернет:

10.2.1. ПредоставлениеДанных

ПредоставлениеДанных(самостоятельныйвводданных): фамилия

имя отчество

адресрегистрации/отправкикорреспонденции электроннаяпочта

номертелефона

10.2.2. СубъектамиДанных путемпоступления на телефон Компании: 8 800 555-46-59, на адрес

электроннойпочтыКомпании:info@orchidee.su черезформуобратнойсвязиКомпании, расположенную по

адресу:https://orchidee.su.

10.3. Автоматически собираемая информация

Компанияможет собирать и обрабатывать сведения, не являющимися персональными данными: информацию

обинтересах пользователей на Сайте наоснове введенных поисковых

запросов пользователей Сайта о реализуемых и предлагаемых к продаже товаров Компанией

сцельюпредоставления актуальной информации клиентамКомпании при использовании Сайта, а также

обобщения и анализа информации, о томкакие разделыСайта и товары пользуются наибольшимспросом

у клиентовКомпании;

обработкаи хранение поисковых запросов пользователей Сайта с цельюобобщенияи создания

клиентской статистики об использовании разделов Сайта.

Компания автоматически получаетнекоторые видыинформации, получаемой в процессе взаимодействия

пользователей с Cайтом, переписки по электронной почте и т. п. Речь идет о технологиях и сервисах,таких как вебпротоколы,

куки, веб-отметки, а также приложения и инструментыуказанной третьей стороны.

При этом веб-отметки, куки и другие мониторинговые технологии не дают возможность автоматически получать

Данные. Если пользователь Сайта по своему усмотрениюпредоставляет своиДанные,например, призаполнении

формыобратнойсвязи или при отправке электронного письма,то только тогда запускаются процессы

автоматического сбора подробной информации для удобствапользования веб- сайтамии/илидля

совершенствования взаимодействия с пользователями.

10.4. Использование Данных

8

Компания вправе пользоваться предоставленнымиДанными в соответствии с заявленными целями их сбора при

наличии согласия субъекта Данных, если такое согласие требуется в соответствии с требованиями

законодательства РоссийскойФедерации вобластиДанных.

ПолученныеДанные вобобщенноми обезличенномвидемогутиспользоватьсядля лучшего понимания

потребностей покупателей товарови услуг, реализуемых Компанией и улучшения качестваобслуживания.

10.5. ПередачаДанных

Компания может поручать обработку Данных третьим лицам исключительно с согласия субъекта Данных. Также

Данные могут передаваться третьимлицамв следующих случаях:

а)Bкачествеответана правомерныезапросыуполномоченных государственныхорганов, в соответствии с

законами, решениями суда и пр.

б) Данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичныхцелей,

заисключениемслучаев получения предварительного согласия субъекта Данных.

10.6. Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для

пользователей Сайта информация. При этомдействие настоящей Политики не распространяется на такие иные

сайты. Пользователям, переходящимпо ссылкамна другие сайты, рекомендуется ознакомиться с политиками об

обработке Данных, размещенными на таких сайтах.

10.7. Пользователь Сайтаможет в любое время отозвать свое согласие наобработкуДанных, направив

сообщение,позвонив по номеру телефонаКомпании:8 800 555-46-59,на адрес электроннойпочтыКомпании:

info@ orchidee.su черезформуобратнойсвязиКомпании, расположеннуюпоадресу::https://orchidee.su,либо

направивписьменноеуведомлениепоадресу Компании:125475, Москва, ул. Петрозаводская, 28-3-13.После

получения такого сообщения обработкаДанных пользователя будет прекращена, а его Данные будут удалены, за

исключениемслучаев, когда обработкаможет быть продолжена в соответствии с законодательством.

Заключительные положенияНастоящаяПолитика является локальным нормативнымактомКомпании.Настоящая

Политика является общедоступной.Общедоступность настоящей Политики обеспечивается публикацией на Сайте

Компании.НастоящаяПолитикаможет быть пересмотрена в любомиз следующих случаев: при изменении

законодательства Российской Федерации в области обработки и защитыперсональных данных; в случаях

получения предписаний от компетентных государственных органов на устранение несоответствий,

затрагивающих область действияПолитики; по решениюруководства Компании; при изменении целей и сроков

обработкиДанных; при изменении организационной структуры, структуры информационныхи/или

телекоммуникационных систем(иливведенииновых); приприменении новых технологий обработки изащиты

Данных (в т. ч.передачи, хранения); при появлении необходимости в изменении процесса обработкиДанных,

связанной с деятельностьюКомпании. В случае неисполнения положений настоящей Политики Компания и ее

работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию

обработкиДанных Компании, а также за безопасность персональных данных.