1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») является документом, определяющим политику Индивидуального предпринимателя Турман Р. Л. (далее — «Оператор») в отношении обработки персональных данных.
Издание и публикация Политики осуществляются на основании и во исполнение Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — «Федеральный закон»).

2. Действие Политики
Действие Политики распространяется на все персональные данные, которые Оператор получил или может получить от субъектов персональных данных (далее — «Субъекты»), как они понимаются в Федеральном законе, а также от юридических лиц, представителями которых являются Субъекты.
Действие Политики распространяется на персональные данные, обрабатываемые Оператором как в связи с использованием сайта, расположенного в сети «Интернет» по адресу https://howfashionworks.ru/ (далее — «Сайт»), так и на иных законных основаниях.

3. Термины и определения
Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к персональным данным — возможность получения персональных данных и их использования.
Контрагенты — физические лица, индивидуальные предприниматели, юридические лица (их представители), заключающие договор с Оператором.
Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Несанкционированный доступ — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователи Сайта — физические лица, посещающие Сайт Оператора.
Посетители — физические лица, посещающие офис Оператора, не являющиеся при этом работниками Оператора.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работники Оператора — физические лица, состоящие с Оператором в трудовых отношениях.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уволенные работники Оператора — физические лица, состоявшие с Оператором в трудовых отношениях.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

4. Правовые основания и цели обработки персональных данных

4.1. Обработка и обеспечение безопасности персональных данных, обрабатываемых Оператором, осуществляется в соответствии с требованиями Конституции Р Ф, Федерального закона, Трудового кодекса РФ (далее — «ТК РФ»), подзаконных актов, других определяющих случаи и особенности обработки персональных данных законодательных актов РФ.

4.2. Обработка персональных данных осуществляется на основании договоров, заключаемых с Субъектами, соответствующих согласий, предоставленных Субъектами.

4.3. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов, способы, сроки их обработки и хранения приведены в приложении к Политике (Приложение № 1).

4.4. Обработка персональных данных осуществляется на законной и справедливой основе.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5. Порядок обработки персональных данных
Обработка персональных данных происходит в порядке, исключающем их утрату, порчу или неправомерное использование.
В целях обеспечения сохранности и конфиденциальности персональных данных все операции по оформлению, формированию, ведению и хранению данной информации выполняются только уполномоченными работниками Оператора, осуществляющими данную работу в соответствии со своими трудовыми обязанностями, зафиксированными в их должностных инструкциях.

6. Обязанность Оператора
В соответствии с требованиями законодательства РФ в целях обеспечения прав и свобод человека и гражданина Оператор при обработке персональных данных Субъекта выполняет следующие обязательные требования:
 обработка персональных данных осуществляется исключительно в целях, указанных в Политике;
 защита обрабатываемых Оператором персональных данных Субъектов от неправомерного их использования или утраты обеспечивается за счет средств Оператора в порядке, установленном локальными нормативными актами Оператора;
 при определении объема и содержания обрабатываемых персональных данных Оператор руководствуется Конституцией Р Ф, ТК РФ, Федеральным законом, иными федеральными законами и нормативно-правовыми актами;
 персональные данные не могут быть использованы в целях причинения вреда гражданам, затруднения реализации прав и свобод граждан.
Оператор обязан соблюдать конфиденциальность персональных данных, переданных Субъектом, обеспечивать их безопасность при обработке, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом, соблюдать требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Федерального закона, а также принимать меры к их защите, указанные в Разделе 9 Политики.
В числе прочего, Оператор обязан уведомить Субъекта о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов.
Оператор обязан по запросу Субъекта, в том числе до обработки персональных данных, предоставлять ему документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных в соответствии со ст. 6 Федерального закона.

7. Права Оператора
Оператор осуществляет обработку персональных данных в виде сбора, записи, систематизации, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), блокирования, удаления и уничтожения персональных данных. Указанные действия производятся как с использованием средств автоматизации, так и без использования. Обработка персональных данных осуществляется исключительно с использованием баз данных, находящихся на территории России. Оператором не осуществляется принятие решений в отношении Субъекта на основании исключительно автоматизированной обработки персональных данных.
Оператор вправе хранить персональные данные Субъектов в облачных хранилищах данных, на использование которых Оператором заключены договоры, с соблюдением требований законодательства РФ.
Оператор вправе предоставить персональные данные Субъектов третьим лицам при условии соблюдения такими лицами требований Федерального закона.
Кроме того, персональные данные Субъекта могут быть переданы правоохранительным, судебным и иным органам государственной власти и иным лицам, которым Оператор обязан передавать такие данные в силу требований законодательства.

8. Хранение персональных данных
Персональные данные Субъектов хранятся на твердых копиях (бумажные носители), на внешних (съемных) электронных носителях и в защищенных информационных системах, принадлежащих Оператору либо используемых Оператором на законном основании. Доступ к информационным системам, содержащим персональные данные, обеспечивается с использованием средств защиты от несанкционированного доступа.
Материальные носители, содержащие персональные данные Субъектов, хранятся в закрывающихся на ключ сейфах или металлических шкафах.
Хранение персональных данных Оператором осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели их обработки и требования нормативных документов РФ, связанных с хранением документов, после чего данные уничтожаются.
Срок хранения документов, содержащих персональные данные Субъектов, определяется характером документов, содержащих такие данные, и целью обработки персональных данных согласно Приложению № 1.

9. Принимаемые Оператором меры по защите персональных данных
Система реализуемых мер защиты Оператором персональных данных Субъектов включает в себя все необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством о защите персональных данных организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых Оператором. Такими мерами являются, в частности:
 назначение Оператором ответственного за организацию обработки персональных данных (при необходимости),
 ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников,
 проведение периодических проверок условий обработки персональных данных,
 издание Оператором настоящей Политики и локальных актов по вопросам обработки персональных данных,
 применение Оператором правовых, организационных и технических мер по обеспечению безопасности персональных данных.

9.1 Внутренняя защита персональных данных включает следующие организационно-технические мероприятия:
 размещение информационных систем Оператора и специального оборудования в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;
 наличие необходимых условий в помещении для работы с персональными данными;
 необходимое резервирование технических средств и дублирование массивов и носителей информации, содержащей персональные данные;
 соблюдение порядка уничтожения персональных данных;
 обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
 знание и соблюдение работниками Оператора требований к обработке и защите персональных данных;
 утверждение уполномоченным лицом Оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
 учет съемных носителей, содержащих персональные данные в установленном у Оператора порядке;
 хранение и использование материальных носителей, исключающих их хищение, подмену и уничтожение;
 обеспечение сохранности носителей персональных данных;
 строгое соблюдение работниками Оператора порядка организации парольной защиты;
 ограничение доступа к сети Интернет с рабочих мест, имеющих доступ к информационным системам персональных данных;
 установка антивирусного программного обеспечения на рабочие станции и серверы;
 использование Оператором средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

9.2 Внешняя защита включает следующие организационно-технические мероприятия:
 создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией, включая персональные данные, в том числе, организацию режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
 отсутствие у посторонних лиц знаний о распределении функций, рабочих процессов, технологий составления, оформления, ведения и хранения документов, дел и рабочих материалов в подразделениях, использующих персональные данные.

9.3 Передача персональных данных при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных и технических мер, обеспечивающих нейтрализацию актуальных угроз безопасности.
Оператором запрещается передача персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и через сеть международного информационного обмена (сети связи общего пользования, Интернет) без применения соответствующих организационных и технических мер защиты.
Передача персональных данных через сеть международного информационного обмена (сети связи общего пользования, Интернет) осуществляется с применением мер, обеспечивающих сокрытие информации от неавторизованных лиц (криптография, шифрование).

10. Права Субъекта
Субъект имеет право на доступ к своим персональным данным, в том числе, на получение информации, касающейся обработки его персональных данных, право требовать уточнения его персональных данных, право отозвать свое согласие на обработку персональных данных и иные права, предусмотренные Федеральным законом.
Субъект может обратится к Оператору следующими способами:
с использованием Почты России (направить запрос по адресу Оператора);
с использованием почтовой системы в виде электронного письма (направить запрос по адресу электронной почты: info@howfashionworks.ru).
В случае поступления письменного запроса Субъекта и (или) уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа Субъекта к своим данным, Оператор рассматривает такой запрос в течение десяти рабочих дней с даты его получения, а о принятом решении уведомляет Субъекта. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отзыва Субъектом согласия на обработку его персональных данных, Оператор вправе продолжить обработку персональных данных без согласия Субъекта исключительно при наличии оснований, предусмотренных законодательством.
Субъект вправе обжаловать действия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
При направлении Оператором Субъекту рекламных и иных рассылок на электронные адреса, SMS- и push-уведомления, а также осуществления звонков, Субъект вправе отказаться от получения таких рассылок (уведомлений, звонков) путем направления ответного письма либо иного обращения в адрес Оператора.

11. Заключительные положения
Настоящая Политика является документом, регламентирующим отношения, возникающие между Субъектами и Оператором при обработке Оператором персональных данных, в том числе при использовании Сайта. Политика может быть изменена Оператором в любой момент, при этом Субъекты должны быть уведомлены о факте такого изменения способами согласно требованиям Федерального закона.
В данном документе будут отображены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу: https://howfashionworks.ru/

Приложение № 1 к Политике конфиденциальности
Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения

1. Обеспечение соблюдения трудового законодательства РФ
Для данной цели обрабатываются следующие категории ПДн работников и уволенных работников Оператора: ФИО; сведения о предыдущей фамилии (в случае наличия); гражданство; дата рождения; место рождения; адрес регистрации; адрес фактического проживания; домашний телефон; мобильный телефон; адрес электронной почты; реквизиты документа, удостоверяющего личность; ИНН; СНИЛС; фотография; сведения о воинском учете; семейное положение; сведения о близких родственниках; сведения об образовании; сведения о предыдущих местах работы; сведения о профессии; стаж работы; сведения о нарушениях трудовой дисциплины; банковские реквизиты.
Для данной цели, в соответствии с п. 4.3. Приказа Росархива от 20.12.2019 №237 «Об утверждении инструкции по применению Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» (далее – Приказ Росархива) документы, содержащие ПДн, хранятся в течение сроков временного хранения документов (1 год, 3 года, 5 лет, 6 лет, 10 лет, 15 лет, 45 лет, 50 лет и 75 лет).
Способ обработки ПДн – смешанная обработка.

2. Сбор и аналитика статистических данных
Для данной цели обрабатываются следующие категории ПДн Пользователей сайта: Сведения, содержащие файлы cookie: сведения, содержащие IP-адрес; сведения об установленных на устройстве посетителя сайта операционных системах; сведения об установленных на устройствах посетителей сайтов типах браузеров; сведения, содержащие установленные на устройстве посетителя сайта расширения и настройки цвета экрана; сведения, содержащие установленные и используемые на устройстве посетителя сайта языки; сведения о версиях Flash и поддержки JavaScript; сведения о типах мобильных устройств, если применимо; сведения о географическом положении; сведения, содержащие количество посещений сайта и просмотров страниц; сведения содержащие длительность пребывания на сайте; сведения, содержащие запросы, использованные при переходе на сайт; сведения содержащие страницы, с которых были совершены переходы. ФИО; почта, телефон.
Срок хранения данных - не более 3 лет с момента сбора данных.
Способ обработки ПДн – смешанная обработка.

3. Обработка с форм обратной связи
Для данной цели обрабатываются следующие категории ПДн Пользователей сайта: ФИО, номер телефона, адрес электронной почты.
Срок хранения данных - 3 года после ответа на обращение Субъекта.
Способ обработки ПДн – смешанная обработка.

4. Заключение и исполнение договоров с контрагентами.
Для данной цели обрабатываются следующие категории ПДн Контрагентов ЮЛ:
ИНН; ФИО контактного лица; номер телефона; адрес электронной почты; реквизиты документа, удостоверяющего личность; гражданство.
Для данной цели обрабатываются следующие категории ПДн Контрагентов ИП: ФИО; гражданство; дата рождения; реквизиты документа, удостоверяющего личность; адрес места жительства (по паспорту, или иному документу, удостоверяющего личность); номера контактных телефонов; ИНН; номер свидетельства регистрации в качестве индивидуального предпринимателя.
Для данной цели обрабатываются следующие категории Пдн Контрагентов ФЛ: ФИО; гражданство; дата рождения; реквизиты документа, удостоверяющего личность; адрес места жительства (по паспорту, или иному документу, удостоверяющего личность); номера контактных телефонов; ИНН, СНИЛС.
Срок хранения данных - не более 10 лет с момента завершения действия договора.
Способ обработки ПДн – смешанная обработка