Помощь

ПОЛОЖЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЕ ДАННЫХ на Платформе «Все Свои» (в редакции от 01.10.2025 г.)

г. Краснодар «__» ________ 2025 года

1. ОБЩИЕ ПОЛОЖЕНИЯ И ПРАВОВАЯ БАЗА

1.1. Настоящее Положение о конфиденциальности и защите данных (далее — «Положение») определяет комплексный порядок сбора, обработки, хранения, передачи, обезличивания и уничтожения персональных данных на Платформе «Все Свои», управляемой ООО «Все Свои Ритейл» (ОГРН 1242300003846, ИНН 2312324477).

1.2. Правовую основу Положения составляют:

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. ФЗ от 01.01.2025 № 345-ФЗ)
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в ред. ФЗ от 01.09.2025 № 378-ФЗ)
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ Роскомнадзора от 05.09.2024 № 156 «Об утверждении методических рекомендаций по применению ФЗ-152»
Регламент (ЕС) 2016/679 (GDPR) - для трансграничной передачи данных

1.3. Оператором персональных данных является ООО «Все Свои Ритейл», включенное в реестр операторов Роскомнадзора за номером 23-24-026919, приказ №71 от 22.03.2024 г, начало обработки с 18.03.2024 г.

2. ТЕРМИНОЛОГИЯ И ОПРЕДЕЛЕНИЯ

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), включая, но не ограничиваясь: ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.4. Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

3. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Основные категории данных:

3.1.1. Для физических лиц (покупателей):

Идентификационные данные: ФИО, пол, дата рождения, гражданство
Контактные данные: адрес электронной почты, номер телефона, адрес проживания/доставки
Платежные данные: реквизиты банковских карт (в зашифрованном виде), история транзакций
Технические данные: IP-адрес, данные cookie, идентификаторы мобильных устройств
Профильные данные: предпочтения, история покупок, отзывы и рейтинги

3.1.2. Для продавцов (юридических лиц, ИП и Самозанятых):

Регистрационные данные: ОГРН, ИНН, КПП, юридический адрес
Финансовые данные: банковские реквизиты, история выплат, налоговая информация
Коммерческие данные: ассортимент товаров, цены, остатки, история продаж
Контактные данные представителей: ФИО, должность, телефон, email

3.2. Специальные категории данных:

Обработка биометрических данных, данных о состоянии здоровья, интимной жизни осуществляется только при наличии явного согласия субъекта в соответствии со ст. 10 ФЗ-152.

4. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

4.1. Основные цели обработки:

4.1.1. Договорные отношения:

Заключение и исполнение договоров купли-продажи
Обработка заказов и организация доставки
Осуществление расчетов и возвратов
Предоставление гарантийного обслуживания
Участие в акциях и опросах, разбор споров

4.1.2. Законные интересы оператора:

Обеспечение безопасности Платформы
Предотвращение мошеннических действий
Аналитика и улучшение пользовательского опыта
Техническая поддержка и устранение ошибок

4.1.3. Согласие субъекта:

Маркетинговые коммуникации и реклама
Участие в опросах и исследованиях, разрешение споров
Использование cookie-файлов для персонализации

4.2. Правовые основания в соответствии с ФЗ-152:

Статья 6 - для обработки данных покупателей
Статья 6 и 18 - для обработки данных продавцов
Статья 15 - для трансграничной передачи данных

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Законность и справедливость - обработка осуществляется на законных основаниях с уважением прав и свобод субъектов.

5.2. Ограничение цели обработки - данные собираются для конкретных, заранее определенных целей.

5.3. Достаточность и релевантность - объем обрабатываемых данных соответствует заявленным целям.

5.4. Точность и актуальность - принимаются разумные меры для обеспечения точности данных.

5.5. Хранение в идентифицируемой форме не дольше, чем этого требуют цели обработки.

5.6. Конфиденциальность и безопасность - обеспечение надлежащего уровня защиты данных.

6. ПОРЯДОК СБОРА И ОБРАБОТКИ ДАННЫХ

6.1. Процедура сбора данных:

6.1.1. Прямой сбор:

При регистрации на Платформе через формы верификации
При оформлении заказа через корзину покупок
При обращении в службу поддержки
При подписке на рассылку и уведомления

6.1.2. Автоматический сбор:

Технические данные через cookie-файлы и log-файлы
Данные о поведении на Платформе через системы аналитики
Геолокационные данные (при предоставлении разрешения)

6.1.3. От третьих лиц:

Данные от платежных систем при проведении транзакций
Данные от служб доставки при отслеживании заказов
Данные от партнеров при совместных акциях

6.2. Механизмы получения согласия:

6.2.1. Явное согласие:

Галочка в форме регистрации "Согласен с политикой конфиденциальности"
Отдельное согласие на маркетинговые коммуникации
Согласие на использование cookie при первом посещении

6.2.2. Процедура оформления согласия:

Четкое и понятное формулирование целей обработки
Возможность выбора конкретных видов обработки
Простая процедура отзыва согласия
Фиксация момента получения согласия

7. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Организационные меры защиты:

7.1.1. Внутренние политики и процедуры:

Приказ о назначении ответственного за обработку ПДн
Положение об обработке и защите персональных данных
Регламент доступа сотрудников к персональным данным
Политика использования электронной почты и интернета

7.1.2. Работа с персоналом:

Обучение сотрудников по защите персональных данных
Подписание соглашений о конфиденциальности
Регулярный пересмотр прав доступа
Дисциплинарная ответственность за нарушения

7.2. Технические меры защиты:

7.2.1. Защита инфраструктуры:

Межсетевые экраны и системы обнаружения вторжений
Антивирусная защита и системы предотвращения утечек
Шифрование данных при передаче (TLS 1.3)
Шифрование данных при хранении (AES-256)

7.2.2. Контроль доступа:

Многофакторная аутентификация для администраторов
Система разграничения прав доступа (RBAC)
Ведение журналов доступа и действий
Автоматическое блокирование при подозрительной активности

8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Полный перечень прав согласно ФЗ-152:

8.1.1. Право на доступ к информации:

Получение сведений об обработке своих персональных данных
Получение перечня обрабатываемых персональных данных
Получение информации о сроках обработки данных, в том числе сроках их хранения

8.1.2. Право на уточнение и исправление:

Требование уточнения своих персональных данных
Требование блокирования или уничтожения данных в случае их неполноты, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки

8.1.3. Право на отзыв согласия:

Отзыв согласия на обработку персональных данных
Требование прекращения обработки персональных данных

8.1.4. Право на удаление (право на забвение):

Требование удаления своих персональных данных
Исключение: случаи, предусмотренные законодательством

8.1.5. Право на ограничение обработки:

Временное прекращение обработки данных
Применяется при оспаривании точности данных или законности обработки

8.1.6. Право на перенос данных:

Получение данных в структурированном, машиночитаемом формате
Передача данных другому оператору без препятствий

8.1.7. Право на возражение:

Возражение против обработки данных для маркетинговых целей
Возражение против автоматизированного принятия решений

8.2. Процедура реализации прав:

8.2.1. Подача запроса:

Через личный кабинет на Платформе
По электронной почте privacy@vsesvoi.ru
Заказным письмом по юридическому адресу Оператора

8.2.2. Рассмотрение запроса:

Срок рассмотрения: 30 календарных дней
Бесплатное предоставление информации
Возможность продления срока до 60 дней при сложности запроса

8.2.3. Форма ответа:

В той же форме, в которой был подан запрос
Электронно или письменно по выбору субъекта
Четкое и понятное изложение информации

9. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ

9.1. Передача персональных данных на территорию иностранных государств осуществляется только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных.

9.2. Для передачи в страны, не обеспечивающие адекватную защиту, применяются:

Стандартные договорные статьи, утвержденные ЕС
Согласие субъекта на трансграничную передачу, отдельное и явное
Корпоративные обязательства (Binding Corporate Rules)

10. РАБОТА С СУБПОДРЯДЧИКАМИ

10.1. Все субподрядчики, имеющие доступ к персональным данным, заключают договоры поручения обработки в соответствии со ст. 6 ФЗ-152, а так же являющиеся Операторами обработки Пнд.

10.2. Регулярный аудит субподрядчиков на соответствие требованиям защиты данных.

11. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Общие сроки хранения:

11.1.1. Данные покупателей:

Активные пользователи: в течение всего периода использования Платформы
Неактивные пользователи: 5 лет с последней активности
Финансовые данные: 6 лет в соответствии с налоговым законодательством

11.1.2. Данные продавцов:

В течение действия договора + 5 лет после его прекращения
Финансовые документы: 6 лет
Юридические документы: бессрочно (в архиве)

11.2. Процедура уничтожения данных:

Автоматическое удаление по истечении сроков хранения
Физическое уничтожение архивных носителей
Документирование факта уничтожения

12. ИНЦИДЕНТЫ БЕЗОПАСНОСТИ И УВЕДОМЛЕНИЯ

12.1. Классификация инцидентов:

12.1.1. Критические инциденты:

Утечка конфиденциальных данных
Несанкционированный доступ к системам
Утрата носителей с персональными данными

12.1.2. Существенные инциденты:

Нарушение конфиденциальности данных
Сбои в системе защиты
Подозрительная активность

12.2. Процедура уведомления:

12.2.1. Уведомление Роскомнадзора:

В течение 72 часов с момента обнаружения инцидента
По форме, утвержденной Приказом Роскомнадзора № 156
С указанием характера инцидента и принятых мер

12.2.2. Уведомление субъектов данных:

При высоком риске для прав и свобод субъектов
Без необоснованной задержки
Четкое и понятное описание инцидента и рекомендаций

13. ДОКУМЕНТАЦИЯ И ОТЧЕТНОСТЬ

13.1. Ведение Реестра обработки персональных данных в соответствии с ФЗ-152.

13.2. Регулярный внутренний аудит системы защиты данных (не реже 1 раза в год).

13.3. Отчетность перед Роскомнадзором по установленной форме.

14. РАЗМЕЩЕНИЕ НА САЙТЕ И ПРОЦЕДУРА ПРИНЯТИЯ

14.1. Размещение на сайте:

14.1.1. Обязательные элементы:

Ссылка в футере сайта: "Политика конфиденциальности"
Отдельная страница с полным текстом Положения
Поп-up окно при первом посещении с краткой информацией
Формы согласия в процессах регистрации и заказа

14.1.2. Требования к доступности:

Постоянная доступность по прямой ссылке
Возможность скачивания в формате PDF
Версия для слабовидящих
Мобильная адаптация

14.2. Процедура принятия Положения:

14.2.1. Для новых пользователей:

Явное согласие при регистрации (галочка)
Возможность ознакомления до дачи согласия
Запись времени и даты получения согласия

14.2.2. Для существующих пользователей:

Уведомление об изменениях за 30 дней
Возможность несогласия с новыми условиями
Процедура удаления аккаунта при несогласии

15. ОТВЕТСТВЕННОСТЬ И САНКЦИИ

15.1. Административная ответственность по ст. 13.11 КоАП РФ:

Предупреждение или штраф до 500 000 рублей
Дисквалификация должностных лиц до 3 лет

15.2. Уголовная ответственность по ст. 137 УК РФ:

Штраф до 300 000 рублей
Лишение свободы до 5 лет

15.3. Гражданско-правовая ответственность:

Возмещение убытков, причиненных субъектам данных
Компенсация морального вреда

Приложение 1: Форма согласия на обработку персональных данных Приложение 2: Политика использования cookie-файлов Приложение 3: Регламент реагирования на инциденты безопасности Приложение 4: Формы запросов субъектов персональных данных

ПРИЛОЖЕНИЕ 1 к Положению о конфиденциальности и защите данных ФОРМА СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАТНЫХ

1. ОБЩАЯ ФОРМА СОГЛАСИЯ

г. Краснодар «__» ________ 202 г.

Я, [ФИО полностью], паспорт серия [серия] № [номер], выдан [кем и когда выдан], зарегистрированный(ая) по адресу: [адрес регистрации],

даю свое согласие ООО «Все Свои Ритейл» (ОГРН 1242300003846, ИНН 2312324477, адрес: 350058, Краснодарский край, г. Краснодар ул. Новороссийская, д. 226, литер «Б», офис 20) на обработку моих персональных данных, включая:

1.1. Перечень обрабатываемых данных:

Фамилия, имя, отчество
Дата и место рождения
Паспортные данные
Адрес регистрации и проживания
Контактные телефоны
Адреса электронной почты
Платежные реквизиты
Данные о заказах и покупках
Технические данные (IP-адрес, cookie, данные браузера)

1.2. Цели обработки:

Заключение и исполнение договоров купли-продажи
Обработка заказов и организация доставки
Осуществление расчетов и возвратов
Предоставление информации о товарах и услугах
Проведение маркетинговых исследований и акций
Обеспечение работы Платформы «Все Свои»

1.3. Способы обработки: Как автоматизированные, так и неавтоматизированные способы, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Подпись субъекта: ___________________ Дата: «__» ________ 202___ г.

2. ФОРМА СОГЛАСИЯ НА МАРКЕТИНГОВЫЕ КОММУНИКАЦИИ

[ ] Согласен(на) получать рекламные и информационные сообщения от ООО «Все Свои Ритейл» и его партнеров по следующим каналам:

Электронная почта
SMS-сообщения
Push-уведомления
Телефонные звонки

[ ] Согласен(на) на участие в опросах и маркетинговых исследованиях

Подпись: ___________________ Дата: «__» ________ 202___ г.

ПРИЛОЖЕНИЕ 2 к Положению о конфиденциальности и защите данных ПОЛИТИКА ИСПОЛЬЗОВАНИЯ COOKIE-ФАЙЛОВ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика использования cookie-файлов (далее — «Политика») применяется к Платформе «Все Свои» и описывает использование файлов cookie и аналогичных технологий.

1.2. Cookie-файлы — это небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении веб-сайта.

2. КАТЕГОРИИ COOKIE-ФАЙЛОВ

2.1. Необходимые cookie-файлы:

Обеспечивают работу основных функций Платформы
Не могут быть отключены
Не требуют согласия пользователя

2.2. Функциональные cookie-файлы:

Запоминают предпочтения пользователя
Сохраняют данные авторизации
Могут быть отключены пользователем

2.3. Аналитические cookie-файлы:

Собирают анонимную статистику использования
Помогают улучшать пользовательский опыт
Требуют согласия пользователя

2.4. Маркетинговые cookie-файлы:

Используются для таргетированной рекламы
Отслеживают эффективность рекламных кампаний
Требуют явного согласия пользователя

3. УПРАВЛЕНИЕ COOKIE-ФАЙЛАМИ

3.1. Пользователь может управлять cookie-файлами через настройки браузера.

3.2. На Платформе предусмотрена панель управления согласием на использование cookie.

3.3. Отключение некоторых cookie-файлов может ограничить функциональность Платформы.

ПРИЛОЖЕНИЕ 3 к Положению о конфиденциальности и защите данных РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ БЕЗОПАСНОСТИ

1. ЭТАПЫ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ

1.1. Обнаружение инцидента:

Мониторинг систем безопасности
Сообщения от пользователей
Уведомления от субподрядчиков

1.2. Оценка инцидента:

Определение категории инцидента
Оценка масштаба и последствий
Определение затронутых субъектов данных

1.3. Содержание инцидента:

Изоляция затронутых систем
Сбор и сохранение доказательств
Предварительный анализ причин

1.4. Устранение последствий:

Восстановление систем и данных
Устранение уязвимостей
Проверка эффективности мер

1.5. Последующий анализ:

Расследование причин инцидента
Разработка корректирующих мер
Обновление процедур безопасности

2. СРОКИ УВЕДОМЛЕНИЯ

2.1. Роскомнадзор: в течение 72 часов с момента обнаружения инцидента

2.2. Субъекты данных: без необоснованной задержки при высоком риске

2.3. Субподрядчики: в течение 24 часов при затрагивании их систем

ПРИЛОЖЕНИЕ 4 к Положению о конфиденциальности и защите данных ФОРМЫ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАТНЫХ

1. ФОРМА ЗАПРОСА НА ДОСТУП К ДАННЫМ

В ООО «Все Свои Ритейл» от [ФИО полностью] паспорт серия [серия] № [номер] контактный телефон: [телефон] email: [адрес email]

ЗАПРОС Прошу предоставить мне следующую информацию:

Подтверждение факта обработки моих персональных данных
Перечень обрабатываемых персональных данных
Цели обработки персональных данных
Сроки обработки персональных данных

Прошу предоставить информацию в следующей форме: [электронно/письменно]

Дата: «__» ________ 202 г. Подпись: ___________________

2. ФОРМА ЗАПРОСА НА УДАЛЕНИЕ ДАННЫХ

В ООО «Все Свои Ритейл» от [ФИО полностью] паспорт серия [серия] № [номер]

ЗАПРОС НА УДАЛЕНИЕ На основании части 1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» прошу удалить все мои персональные данные из ваших баз данных.

Дата: «__» ________ 202 г. Подпись: ___________________

3. ФОРМА ОТЗЫВА СОГЛАСИЯ

В ООО «Все Свои Ритейл» от [ФИО полностью] паспорт серия [серия] № [номер]

ОТЗЫВ СОГЛАСИЯ Отзываю свое согласие на обработку персональных данных, данное мной «__» ________ 202___ г., в части: [указать, какие именно виды обработки отзываются]

Прошу прекратить обработку моих персональных данных и уничтожить их, за исключением случаев, когда обработка необходима для целей, предусмотренных законодательством.

Дата: «__» ________ 202 г. Подпись: ___________________

Положение о конфиденциальности и защите данных на платформе «Все Свои»