Политика в отношении обработки и защиты персональных данных
Индивидуального предпринимателя Козловой Юлии Александровны ОГРНИП 324237500397028 ИНН 550145020013
1.Общие положения
1.1. Настоящая Политика (далее — Политика) определяет порядок и условия обработки персональных данных, исчерпывающие сведения о целях, категориях и объемах обрабатываемых персональных данных, мерах по их защите и реализации прав субъектов персональных данных Индивидуальным предпринимателем Козловой Юлией Александровной ОГРНИП 324237500397028, ИНН 550145020013 (далее — Оператор).
Контакты для связи с Оператором:
Телефон: +7 (961) 534-70-07 +7 (999) 631-63-22
Электронная почта: pepperoni2022@yandex.ru
Адрес: г. Краснодар, ул. Героя Яцкова, д. 12
Сайт: https://pizzapepperoni.ru
1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ “О персональных данных”, нормативными актами, рекомендациями Роскомнадзора.
1.3. Оператор принимает необходимые меры для защиты прав и свобод субъектов персональных данных при их обработке.
1.4. Настоящая Политика размещается в свободном доступе на сайте Оператора по адресу: https://pizzapepperoni.ru. Ссылка на актуальную редакцию Политики также размещается на всех публичных страницах Оператора, включая официальные аккаунты в социальных сетях (например, ВКонтакте).
По запросу любого лица Политика может быть предоставлена в письменной или электронной форме.
1.5. Основные понятия, используемые в настоящей Политике:
Оператор персональных данных (Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Агрегатор доставки — сторонний сервис-партнер (например, Яндекс Еда, Деливери), осуществляющий прием заказов от клиентов и передачу Оператору необходимых персональных данных для исполнения заказа. Агрегаторы доставки не являются структурным подразделением Оператора и самостоятельно устанавливают политику обработки персональных данных на своих платформах.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
1.7. Основные права субъекта персональных данных.
Права субъектов персональных данных устанавливаются в соответствии с законодательством Российской Федерации и подробно раскрыты в разделе 8 настоящей Политики.
1.8. Контроль за исполнением требований настоящей Политики осуществляется Индивидуальным предпринимателем Козловой Юлией Александровной.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и локальных нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. Цели сбора и обработки персональных данных
2.1. Оператор обрабатывает персональные данные в следующих целях:
-
приём и оформление заказов, организация их доставки, а также полное сопровождение каждого заказа на всех этапах исполнения;
-
обработка обращений, запросов через сайт, соцсети, мессенджеры;
-
исполнение обязательств по договорам, в том числе взаимодействие с агрегаторами для оформления и доставки;
-
ведение бухгалтерского и налогового учета, отчетности;
-
аналитика и улучшение качества услуг;
-
соблюдение требований законодательства РФ, взаимодействия с госорганами;
-
соблюдение внутренней безопасности на основании видеонаблюдения.
2.2. Обработка персональных данных осуществляется Оператором на основании следующих правовых оснований:
— отдельного письменного согласия субъекта персональных данных, предоставленного в соответствии с требованиями законодательства;
— заключения и исполнения договора между Оператором и субъектом персональных данных;
— исполнения требований действующего законодательства Российской Федерации, в том числе по бухгалтерскому и налоговому учету, предоставлению сведений государственным органам;
— защиты прав и законных интересов Оператора при условии не нарушения прав и свобод субъекта;
— осуществления видеонаблюдения на основании локального нормативного акта в целях безопасности и в иных случаях, прямо предусмотренных законодательством;
— выполнения иных обязанностей Оператора, прямо установленных законодательством Российской Федерации.
При обработке персональных данных оператор Оператором обеспечивает минимальный необходимый объем собираемых и обрабатываемых сведений, а также соблюдение требований к срокам хранения персональных данных.
4. Объем и категории обрабатываемых персональных данных
4.1. Оператор собирает и обрабатывает только те персональные данные, которые необходимы для выполнения заявленных целей:
-
Фамилия, Имя, Отчество.
-
Контактные данные (номера телефонов, адреса электронной почты).
-
Адрес доставки.
-
Сведения о заказах (дата, состав, статус, история покупок).
-
Содержание переписки и обращений; сообщения в чатах и иных каналах связи.
-
Видеоизображение физических лиц.
-
IP-адрес, cookie-файлы, технические данные.
-
Платежные реквизиты (банковская карта, иные способы оплаты).
-
Дополнительная информация, предоставленная субъектом в обращении.
4.2. Оператор не обрабатывает специальные и биометрические категории персональных данных.
Видеоизображения, получаемые системой видеонаблюдения исключительно для целей безопасности и защиты имущества Оператора, не используются Оператором для идентификации физических лиц.
4.3. Категории субъектов персональных данных
Оператор обрабатывает персональные данные, принадлежащие следующим категориям субъектов:
-
Клиенты — физические лица, которые оформляют заказы на продукцию и услуги Оператора через сайт, по телефону, через агрегаторы доставки или непосредственно в заведении.
-
Пользователи интернет-ресурсов (сайта, мессенджеров, соцсетей) — лица, которые взаимодействуют с сайтом, официальными страницами Оператора в социальных сетях и мессенджерами (например, оставляют отзывы, задают вопросы в чате, участвуют в обсуждениях).
-
Посетители — физические лица, находящиеся в помещениях пиццерии, где ведется видеонаблюдение в целях обеспечения безопасности.
-
Посетители сайта — физические лица, получающие доступ к информации, размещённой на сайте Оператора в сети Интернет, посредством использования персональных компьютеров, мобильных устройств или иных средств доступа, независимо от целей такого посещения.
5. Способы сбора и обработки персональных данных
5.1. Оператор осуществляет сбор персональных данных:
-
через сайт Оператора (https://pizzapepperoni.ru) при оформлении заказов и отправке обратной связи;
-
посредством официальных страниц Оператора в социальных сетях (например, ВКонтакте — https://vk.com/pepperoni_krd);
-
с использованием сервисов-агрегаторов доставки (Яндекс Еда, Деливери, Купер и прочие), на условиях и в объеме, определенных их собственными политиками обработки персональных данных и заключёнными с ними договорами;
-
через мессенджеры, включая личную переписку, чаты, комментарии, использование чат-ботов;
-
по телефону при звонках в пиццерию;
-
путем личного общения при посещении заведения;
-
в автоматическом режиме посредством сбора технической информации, IP-адресов, cookie-файлов и иных технических средств веб-аналитики;
-
•при ведении видеонаблюдения в помещениях пиццерии.
5.2. В отношении данных, получаемых через агрегаторы, мессенджеры и соцсети:
Оператор не несёт ответственности за политику обработки ПДн самих агрегаторов/мессенджеров/соцсетей.
Все обращения и заказы через эти каналы фиксируются, обработка ПДн производится только в объёме, необходимом для оказания услуги и исполнения заказа.
5.3. Для анализа посещаемости и совершенствования работы сайта используется сервис Яндекс.Метрика. Этот сервис собирает и передает обезличенные технические данные о посещениях сайта (например, IP-адрес, параметры браузера и устройства) компании “Яндекс”. Эти данные используются исключительно в статистических целях и не предназначены для идентификации пользователя. Подробнее: https://yandex.ru/legal/metrica_termsofuse/
5.4. На сайте используются технические cookie-файлы, необходимые исключительно для функционирования корзины заказа, а также cookie, используемые веб-аналитикой Яндекс.Метрика. Эти cookie не предназначены для идентификации личности пользователя.
5.5. Персональные данные обрабатываются только в информационных системах, размещённых на территории Российской Федерации.
5.6. Передача персональных данных третьим лицам осуществляется только в случаях, когда это необходимо для исполнения заказа (например, службам доставки — исключительно в объёме, необходимом для осуществления доставки), а также по официальному и надлежаще оформленному требованию уполномоченных государственных органов в соответствии с законодательством Российской Федерации. В иных случаях передача персональных данных третьим лицам не осуществляется.
6. Порядок и условия обработки, хранения, передачи, блокирования, уничтожения персональных данных
6.1. Оператор осуществляет обработку персональных данных с использованием следующих действий (операций): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
Оператор производит обезличивание персональных данных в случаях и порядке, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», а также по требованию уполномоченного органа. Передача обезличенных данных в государственную информационную систему осуществляется с соблюдением требований законодательства Российской Федерации о персональных данных и конфиденциальности информации. Субъект персональных данных вправе заявить возражение против такой передачи не позднее чем за 30 (тридцать) дней до ее осуществления.
6.2. Обработка персональных данных осуществляется с использованием средств автоматизации, а также без их использования (на бумажных или электронных носителях).
6.3. Персональные данные хранятся до достижения целей их обработки либо до момента отзыва согласия субъектом персональных данных, за исключением случаев, когда федеральным законодательством установлен иной срок хранения. В частности, персональные данные, содержащиеся в первичных учетных документах (кассовых чеках, накладных и т.п.), подлежат хранению в течение сроков, установленных законодательством Российской Федерации о бухгалтерском учёте, но не менее 5 (пяти) лет после окончания соответствующего отчетного года.
6.4. В случае отзыва согласия субъектом персональных данных либо достижения целей обработки, персональные данные подлежат уничтожению или обезличиванию в течение 30 (тридцати) календарных дней, если иное не установлено законодательством Российской Федерации.
6.5. Оператор вправе передавать персональные данные службам доставки исключительно в целях исполнения договора (заказа). Обезличенные технические данные, автоматически собираемые сервисом «Яндекс.Метрика», могут быть переданы указанному оператору только для статистического анализа посещаемости сайта.
6.6. Оператор не осуществляет трансграничную передачу персональных данных, за исключением случаев, прямо предусмотренных условиями использования мессенджеров, социальных сетей или иных сервисов, при взаимодействии с которыми субъект персональных данных самостоятельно размещает либо передает свои персональные данные соответствующему оператору.
6.7. Все обращения субъектов персональных данных по вопросам, связанным с обработкой их персональных данных, подлежат обязательной регистрации и рассматриваются в порядке, установленном статьёй 14 Федерального закона № 152-ФЗ «О персональных данных».
6.8. Сводная таблица соответствия целей, категорий субъектов, состава персональных данных, сроков хранения и способов обработки:
|
Цель обработки |
Категории субъектов |
Состав/категории ПДн |
Срок хранения |
Способы обработки |
|
Приём и оформление заказов, организация их доставки, а также полное сопровождение каждого заказа на всех этапах исполнения |
Клиенты |
Фамилия, имя, отчество, номер телефона, адрес доставки, электронная почта, сведения о заказе, платёжные реквизиты, содержание переписки и обращений |
До исполнения заказа + 5 лет (для бухгалтерских документов) |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), блокирование, удаление, уничтожение |
|
Обработка обращений, запросов через сайт, соцсети, мессенджеры |
Клиенты, пользователи сайта, мессенджеров, соцсетей |
Фамилия, имя, отчество, номер телефона, электронная почта, содержание переписки и обращений, дополнительная информация, предоставленная субъектом в обращении, запросе |
До закрытия обращения/отзыва + 6 месяцев |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), блокирование, удаление, уничтожение |
|
Исполнение обязательств по договорам, в том числе взаимодействие с агрегаторами для оформления и доставки |
Клиенты |
Фамилия, имя, отчество, номер телефона, адрес доставки, электронная почта, сведения о заказе, платёжные реквизиты, содержание переписки и обращений, сообщения |
До исполнения заказа + 5 лет (для бухгалтерских документов) |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), блокирование, удаление, уничтожение |
|
Ведение бухгалтерского и налогового учета, отчетности |
Клиенты |
Фамилия, имя, отчество, номер телефона, адрес доставки, электронная почта, сведения о заказе, реквизиты, входящие в бухгалтерские документы, платежные реквизиты |
5 лет после окончания отчетного года |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), блокирование, удаление, уничтожение |
|
Аналитика и улучшение качества услуг |
Пользователи сайта, посетители сайта |
IP-адрес, cookie-файлы, технические данные |
24 месяца |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), блокирование, удаление, уничтожение |
|
Соблюдение требований законодательства РФ, взаимодействие с госорганами |
Клиенты |
Данные, предусмотренные законодательством РФ |
В сроки, установленные законодательством РФ |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), блокирование, удаление, уничтожение |
|
Соблюдение внутренней безопасности на основании видеонаблюдения |
Посетители, клиенты |
Видеоизображение |
30 суток |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), блокирование, удаление, уничтожение |
7.Меры по обеспечению безопасности персональных данных
7.1. Оператор реализует комплекс правовых, организационных и технических мер для обеспечения безопасности персональных данных, в том числе:
— утверждение и введение в действие локальных нормативных актов, регламентирующих обработку и защиту персональных данных;
— разграничение и ограничение прав доступа к персональным данным;
— ведение учета лиц, получающих доступ к персональным данным;
— ведение и актуализация перечня информационных систем и средств обработки персональных данных;
— маркировка носителей информации, организация хранения и учета носителей с персональными данными;
— контроль за использованием внешних устройств хранения информации и запрет несанкционированного копирования или передачи персональных данных на внешние носители;
— разработка и внедрение технических средств защиты от несанкционированного доступа (антивирусное ПО);
— регулярное обновление программного обеспечения, установка критических обновлений безопасности;
— резервное копирование данных и контроль восстановления из резервных копий;
— обеспечение физической безопасности помещений, где размещены информационные системы (контроль входа, видеонаблюдение, ограничение несанкционированного доступа лиц);
— организация внутреннего контроля за соответствием обработки персональных данных требованиям законодательства, проведение не менее одного раза в год контроля состояния защищенности ПДн, анализ эффективности принятых мер.
7.2. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
7.3. При привлечении подрядчиков (служб доставки и IT-сервисов) оператор заключает с ними договоры, в которых предусматриваются обязательства по обеспечению конфиденциальности и неразглашению получаемой в рамках сотрудничества информации.
8. Права и обязанности субъектов персональных данных
8.1. Субъекты ПДн имеют право:
— Получать сведения о целях, основаниях, способах, сроках обработки персональных данных, источнике их получения, лицах, имеющих доступ;
— Требовать от оператора уточнения, блокирования либо уничтожения своих персональных данных, если данные неполные, устаревшие, неточные, незаконно полученные или не нужны для целей обработки;
— Отзывать согласие на обработку персональных данных;
— Получать информацию о трансграничной передаче и о передаче данных третьим лицам;
— Возражать против передачи обезличенных данных и требовать прекращения необоснованной обработки;
— Обжаловать действия или бездействие оператора в Роскомнадзор, а также в судебном порядке;
— Реализовать иные права, предусмотренные законодательством Российской Федерации о персональных данных.
8.2. Для реализации прав субъект может направлять письменные обращения по адресу Оператора или электронной почте: sinner804@gmail.com, а также через форму обратной связи на сайте.
8.3. Оператор обязан предоставить ответ на обращение субъекта персональных данных в течение десяти рабочих дней с даты его поступления. При необходимости срок рассмотрения может быть продлен, но не более чем на пять рабочих дней, с обязательным уведомлением субъекта и обоснованием продления.
9.Регламент реагирования на запросы субъектов
9.1. После получения запроса от субъекта персональных данных Оператор проводит проверку достоверности предоставленных сведений, подготавливает и направляет письменный ответ по существу обращения или требования.
9.2. Реализация прав субъекта персональных данных на изменение, уточнение, удаление или уничтожение персональных данных осуществляется в сроки, предусмотренные нормативными правовыми актами Российской Федерации.
9.3. В случае отказа в удовлетворении запроса субъекту персональных данных направляется письменный, мотивированный ответ с указанием причин отказа.
10. Прекращение обработки и уничтожение персональных данных
10.1. Основаниями для прекращения обработки персональных данных являются достижение целей обработки, отзыв согласия, выявление неправомерной обработки, а также истечение установленных законодательством сроков хранения.
10.2. После прекращения обработки персональные данные уничтожаются или обезличиваются с составлением акта.
11.Размещение и изменение настоящей политики
11.1. Политика размещается в публичном доступе на сайте Оператора.
11.2. Оператор вправе вносить изменения в Политику. Изменения вступают в силу с момента их публикации на сайте.
11.3. По вопросам, связанным с обработкой ПДн, следует обращаться по контактам, указанным в разделе 1.
12. Дополнительные условия
12.1. Политика действует бессрочно до замены новой редакцией.
12.2. Действующая редакция Политики утверждена 22.09.2025 г.