Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных ИП Шуховцева Ольга Сергеевна (далее — «Оператор») с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая Политика действует в отношении всех персональных данных, которые Оператор получает через веб-сайт https://latte-studio.ru (далее — «Сайт»).

1.3. Использование Сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки персональных данных.

1.4. В случае несогласия с условиями Политики пользователь должен прекратить использование Сайта.

2. Основные понятия

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор — физическое лицо, осуществляющее предпринимательскую деятельность без образования юридического лица, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.

2.4. Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

3. Категории персональных данных

3.1. Оператор обрабатывает следующие категории персональных данных:

3.1.1. Контактные данные:

• Фамилия, имя, отчество
• Номер телефона
• Адрес электронной почты
• Адрес объекта для дизайн-проекта

3.1.2. Данные для оказания услуг дизайна:

• Адрес объекта дизайна
• Реквизиты документов, удостоверяющих личность
• Данные банковских карт (в зашифрованном виде)
• Фотографии помещений (с согласия)
• Планировки и технические характеристики помещений

3.1.3. Технические данные:

• IP-адрес
• Данные файлов cookie
• Информация о браузере и операционной системе
• Данные о посещенных страницах сайта

4. Цели обработки персональных данных

4.1. Оператор обрабатывает персональные данные в следующих целях:

4.1.1. Основные цели:

• Исполнение договоров оказания услуг дизайна интерьеров
• Обработка заявок на дизайн-проекты
• Предоставление технической поддержки
• Идентификация пользователя в личном кабинете
• Выезд на объект для замеров и консультаций

4.1.2. Дополнительные цели (при наличии согласия):

• Направление рекламных и информационных сообщений
• Проведение маркетинговых исследований
• Улучшение качества обслуживания
• Статистический анализ поведения пользователей

5. Правовые основания обработки

5.1. Правовыми основаниями обработки персональных данных являются:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
• Согласие субъекта персональных данных на обработку персональных данных
• Исполнение договора, стороной которого является субъект персональных данных
• Осуществление прав и законных интересов оператора

6. Способы и сроки обработки персональных данных

6.1. Обработка персональных данных осуществляется с использованием и без использования средств автоматизации.

6.2. Локализация данных граждан РФ: Персональные данные граждан Российской Федерации записываются, систематизируются, накапливаются, хранятся, уточняются (обновляются, изменяются), извлекаются с использованием баз данных, находящихся на территории Российской Федерации.

6.3. Персональные данные обрабатываются в течение следующих сроков:

• Для исполнения договорных обязательств по дизайн-услугам: 5 лет с даты завершения проекта
• Для целей налогового и бухгалтерского учета: 5 лет с момента завершения налогового периода
• Для рекламных целей: до отзыва согласия или отписки от рассылки
• Для технической поддержки: 3 года с момента последнего обращения
• Данные аналитических систем: 2 года с момента сбора
• Фотографии помещений: 3 года с момента завершения проекта или до отзыва согласия

6.4. По истечении сроков обработки персональные данные подлежат уничтожению, если:

• Отпали цели обработки персональных данных
• Истек срок действия согласия субъекта персональных данных
• Поступило требование субъекта персональных данных

7. Передача персональных данных третьим лицам

7.1. Оператор не передает персональные данные третьим лицам, за исключением следующих случаев:

7.1.1. Для исполнения обязательств:

• Курьерские службы — для доставки материалов и документов по проекту
• Платежные системы (Сбербанк, ЮКасса и др.) — для обработки платежей
• Банки — для проведения финансовых операций
• SMS-сервисы — для отправки уведомлений
• Email-сервисы — для отправки писем
• Подрядчики и поставщики — для реализации дизайн-проекта (с согласия заказчика)

7.1.2. По требованию закона:

• Органы государственной власти в случаях, предусмотренных действующим законодательством

7.1.3. Трансграничная передача персональных данных:

• Яндекс.Метрика — обработка данных на территории РФ
• Социальные сети (Вконтакте) — обработка данных на территории РФ

7.1.4. Правовые основания трансграничной передачи:

• Согласие субъекта персональных данных
• Исполнение договора с субъектом персональных данных
• Стандартные договорные оговорки, утвержденные Европейской комиссией

7.2. При передаче персональных данных третьим лицам Оператор принимает меры для обеспечения их конфиденциальности и безопасности.

7.3. Все третьи лица обязуются обеспечить уровень защиты персональных данных не ниже, чем тот, который обеспечивается Оператором.

8. Меры безопасности

8.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного доступа, а также от иных неправомерных действий в отношении персональных данных:

• Назначение лица, ответственного за организацию обработки персональных данных
• Ограничение состава лиц, имеющих доступ к персональным данным
• Ознакомление лиц, имеющих доступ к персональным данным, с положениями законодательства РФ о персональных данных
• Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации
• Учет машинных носителей персональных данных
• Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию

8.2. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ:

8.2.1. Использование систем автоматизированной обработки:

• Системы управления сайтом (CMS)
• Системы веб-аналитики (Яндекс.Метрика)
• Системы управления проектами и клиентами
• Системы автоматической отправки уведомлений
• Системы обработки платежей
• Алгоритмы подбора дизайн-решений

8.2.2. Автоматизированные решения, затрагивающие права субъектов:

• Автоматическое определение региона оказания услуг по IP-адресу
• Автоматический расчет предварительной стоимости услуг
• Системы предотвращения мошенничества (блокировка подозрительных заявок)
• Алгоритмы формирования персональных предложений по дизайну

8.2.3. Права субъекта при автоматизированной обработке:

• Право не подвергаться принятию решений, основанных исключительно на автоматизированной обработке
• Право требовать пересмотра автоматизированного решения
• Право на получение информации о логике автоматизированной обработки
• Право обратиться к человеку для пересмотра решения

8.2.4. Защита от автоматизированных решений:

• Все критически важные решения (блокировка аккаунта, отказ в обслуживании) проверяются человеком
• Возможность обжалования автоматических решений через службу поддержки
• Прозрачность алгоритмов принятия решений

9. Права субъекта персональных данных

9.1. Субъект персональных данных имеет право:

• Получать информацию, касающуюся обработки его персональных данных
• Требовать уточнения, блокирования или уничтожения персональных данных
• Отозвать согласие на обработку персональных данных
• Обжаловать действия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке
• Получать информацию о третьих лицах, которым передаются персональные данные
• Требовать возмещения ущерба, причиненного неправомерной обработкой персональных данных
• Право на ограничение обработки персональных данных
• Право на уведомление об исправлении или удалении данных
• Право на получение информации об источнике персональных данных

9.2. Сроки рассмотрения обращений: Оператор рассматривает обращения субъектов персональных данных в течение 30 дней с момента получения обращения. В случае необходимости срок может быть продлен еще на 30 дней с уведомлением заявителя.

9.3. Для реализации указанных прав субъект персональных данных может обратиться к Оператору по адресу: hello@latte-studio.ru

9.4. При обращении субъект персональных данных должен указать:

• Номер основного документа, удостоверяющего личность
• Сведения о дате выдачи и выдавшем органе
• Сведения, подтверждающие участие в отношениях с Оператором
• Подпись субъекта персональных данных (при письменном обращении)

10. Использование cookie и метрических программ

10.1. На Сайте используются файлы cookie и счетчики интернет-статистики (Яндекс.Метрика и др.).

10.2. Cookie — это небольшие файлы, которые сохраняются на устройстве пользователя при посещении веб-сайтов.

10.2.1. Типы используемых cookie:

• Необходимые cookie — обеспечивают работу основных функций сайта
• Аналитические cookie — собирают информацию о том, как посетители используют сайт
• Функциональные cookie — запоминают выбор пользователя и персонализируют его опыт
• Рекламные cookie — используются для показа релевантной рекламы

10.3. Пользователь может управлять использованием cookie через настройки браузера или cookie-баннер на сайте. Отключение cookie может ограничить функциональность Сайта.

10.4. Обработка данных счетчиками интернет-статистики осуществляется в соответствии с политиками конфиденциальности соответствующих сервисов:

• Яндекс.Метрика: https://yandex.ru/legal/confidential/

11. Уведомление об инцидентах безопасности

11.1. Обязательства по уведомлению:

11.1.1. При нарушении безопасности персональных данных, которое может повлечь высокий риск для прав субъектов персональных данных, Оператор направляет уведомление в уполномоченный орган по защите прав субъектов персональных данных не позднее 72 часов с момента обнаружения инцидента.

11.1.2. Субъекты персональных данных уведомляются об инцидентах незамедлительно при обнаружении угрозы их правам и свободам.

11.1.3. Содержание уведомления субъектам:

• Описание характера нарушения безопасности
• Вероятные последствия нарушения
• Меры, принятые или планируемые к принятию Оператором
• Контактная информация для получения дополнительных сведений

11.1.4. Способы уведомления:

• По электронной почте (при наличии актуального адреса)
• Через личный кабинет на сайте
• Размещение общего уведомления на сайте (при массовом инциденте)

12. Особенности ИП как оператора персональных данных

12.1. Ответственность ИП:

12.1.1. ИП несет полную имущественную ответственность по обязательствам, связанным с обработкой персональных данных, всем принадлежащим ей имуществом, за исключением имущества, на которое не может быть обращено взыскание.

12.1.2. Штрафы по ФЗ-152 применяются к ИП как к должностному лицу, осуществляющему предпринимательскую деятельность.

12.1.3. Организационные особенности:

• Ответственность за обработку персональных данных несет непосредственно ИП или назначенное ею уполномоченное лицо
• При привлечении наемных работников возможна субсидиарная ответственность
• Обработка персональных данных осуществляется без образования юридического лица

13. Изменения политики конфиденциальности

13.1. Оператор оставляет за собой право вносить изменения в настоящую Политику конфиденциальности.

13.2. При внесении изменений в актуальной редакции указывается дата последнего обновления.

13.3. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.

13.4. Действующая версия Политики конфиденциальности постоянно доступна на странице по адресу: https://latte-studio.ru/politika-konfidentsialnosti.

14. Контактная информация

14.1. По всем вопросам, связанным с обработкой персональных данных, субъекты персональных данных могут обращаться к Оператору: