Москва
0Корзина

Положение о конфиденциальности и защите данных на платформе «Все Свои»

ПОЛОЖЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЕ ДАННЫХ на Платформе «Все Свои» (в редакции от 01.10.2025 г.)

г. Краснодар «__» ________ 2025 года

1. ОБЩИЕ ПОЛОЖЕНИЯ И ПРАВОВАЯ БАЗА

1.1. Настоящее Положение о конфиденциальности и защите данных (далее — «Положение») определяет комплексный порядок сбора, обработки, хранения, передачи, обезличивания и уничтожения персональных данных на Платформе «Все Свои», управляемой ООО «Все Свои Ритейл» (ОГРН 1242300003846, ИНН 2312324477).

1.2. Правовую основу Положения составляют:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. ФЗ от 01.01.2025 № 345-ФЗ)
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в ред. ФЗ от 01.09.2025 № 378-ФЗ)
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Приказ Роскомнадзора от 05.09.2024 № 156 «Об утверждении методических рекомендаций по применению ФЗ-152»
  • Регламент (ЕС) 2016/679 (GDPR) - для трансграничной передачи данных

1.3. Оператором персональных данных является ООО «Все Свои Ритейл», включенное в реестр операторов Роскомнадзора за номером 23-24-026919, приказ №71 от 22.03.2024 г, начало обработки с 18.03.2024 г.

2. ТЕРМИНОЛОГИЯ И ОПРЕДЕЛЕНИЯ

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), включая, но не ограничиваясь: ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.4. Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

3. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Основные категории данных:

3.1.1. Для физических лиц (покупателей):

  • Идентификационные данные: ФИО, пол, дата рождения, гражданство
  • Контактные данные: адрес электронной почты, номер телефона, адрес проживания/доставки
  • Платежные данные: реквизиты банковских карт (в зашифрованном виде), история транзакций
  • Технические данные: IP-адрес, данные cookie, идентификаторы мобильных устройств
  • Профильные данные: предпочтения, история покупок, отзывы и рейтинги

3.1.2. Для продавцов (юридических лиц, ИП и Самозанятых):

  • Регистрационные данные: ОГРН, ИНН, КПП, юридический адрес
  • Финансовые данные: банковские реквизиты, история выплат, налоговая информация
  • Коммерческие данные: ассортимент товаров, цены, остатки, история продаж
  • Контактные данные представителей: ФИО, должность, телефон, email

3.2. Специальные категории данных:

Обработка биометрических данных, данных о состоянии здоровья, интимной жизни осуществляется только при наличии явного согласия субъекта в соответствии со ст. 10 ФЗ-152.

4. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

4.1. Основные цели обработки:

4.1.1. Договорные отношения:

  • Заключение и исполнение договоров купли-продажи
  • Обработка заказов и организация доставки
  • Осуществление расчетов и возвратов
  • Предоставление гарантийного обслуживания
  • Участие в акциях и опросах, разбор споров

4.1.2. Законные интересы оператора:

  • Обеспечение безопасности Платформы
  • Предотвращение мошеннических действий
  • Аналитика и улучшение пользовательского опыта
  • Техническая поддержка и устранение ошибок

4.1.3. Согласие субъекта:

  • Маркетинговые коммуникации и реклама
  • Участие в опросах и исследованиях, разрешение споров
  • Использование cookie-файлов для персонализации

4.2. Правовые основания в соответствии с ФЗ-152:

  • Статья 6 - для обработки данных покупателей
  • Статья 6 и 18 - для обработки данных продавцов
  • Статья 15 - для трансграничной передачи данных

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Законность и справедливость - обработка осуществляется на законных основаниях с уважением прав и свобод субъектов.

5.2. Ограничение цели обработки - данные собираются для конкретных, заранее определенных целей.

5.3. Достаточность и релевантность - объем обрабатываемых данных соответствует заявленным целям.

5.4. Точность и актуальность - принимаются разумные меры для обеспечения точности данных.

5.5. Хранение в идентифицируемой форме не дольше, чем этого требуют цели обработки.

5.6. Конфиденциальность и безопасность - обеспечение надлежащего уровня защиты данных.

6. ПОРЯДОК СБОРА И ОБРАБОТКИ ДАННЫХ

6.1. Процедура сбора данных:

6.1.1. Прямой сбор:

  • При регистрации на Платформе через формы верификации
  • При оформлении заказа через корзину покупок
  • При обращении в службу поддержки
  • При подписке на рассылку и уведомления

6.1.2. Автоматический сбор:

  • Технические данные через cookie-файлы и log-файлы
  • Данные о поведении на Платформе через системы аналитики
  • Геолокационные данные (при предоставлении разрешения)

6.1.3. От третьих лиц:

  • Данные от платежных систем при проведении транзакций
  • Данные от служб доставки при отслеживании заказов
  • Данные от партнеров при совместных акциях

6.2. Механизмы получения согласия:

6.2.1. Явное согласие:

  • Галочка в форме регистрации "Согласен с политикой конфиденциальности"
  • Отдельное согласие на маркетинговые коммуникации
  • Согласие на использование cookie при первом посещении

6.2.2. Процедура оформления согласия:

  • Четкое и понятное формулирование целей обработки
  • Возможность выбора конкретных видов обработки
  • Простая процедура отзыва согласия
  • Фиксация момента получения согласия

7. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Организационные меры защиты:

7.1.1. Внутренние политики и процедуры:

  • Приказ о назначении ответственного за обработку ПДн
  • Положение об обработке и защите персональных данных
  • Регламент доступа сотрудников к персональным данным
  • Политика использования электронной почты и интернета

7.1.2. Работа с персоналом:

  • Обучение сотрудников по защите персональных данных
  • Подписание соглашений о конфиденциальности
  • Регулярный пересмотр прав доступа
  • Дисциплинарная ответственность за нарушения

7.2. Технические меры защиты:

7.2.1. Защита инфраструктуры:

  • Межсетевые экраны и системы обнаружения вторжений
  • Антивирусная защита и системы предотвращения утечек
  • Шифрование данных при передаче (TLS 1.3)
  • Шифрование данных при хранении (AES-256)

7.2.2. Контроль доступа:

  • Многофакторная аутентификация для администраторов
  • Система разграничения прав доступа (RBAC)
  • Ведение журналов доступа и действий
  • Автоматическое блокирование при подозрительной активности

8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Полный перечень прав согласно ФЗ-152:

8.1.1. Право на доступ к информации:

  • Получение сведений об обработке своих персональных данных
  • Получение перечня обрабатываемых персональных данных
  • Получение информации о сроках обработки данных, в том числе сроках их хранения

8.1.2. Право на уточнение и исправление:

  • Требование уточнения своих персональных данных
  • Требование блокирования или уничтожения данных в случае их неполноты, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки

8.1.3. Право на отзыв согласия:

  • Отзыв согласия на обработку персональных данных
  • Требование прекращения обработки персональных данных

8.1.4. Право на удаление (право на забвение):

  • Требование удаления своих персональных данных
  • Исключение: случаи, предусмотренные законодательством

8.1.5. Право на ограничение обработки:

  • Временное прекращение обработки данных
  • Применяется при оспаривании точности данных или законности обработки

8.1.6. Право на перенос данных:

  • Получение данных в структурированном, машиночитаемом формате
  • Передача данных другому оператору без препятствий

8.1.7. Право на возражение:

  • Возражение против обработки данных для маркетинговых целей
  • Возражение против автоматизированного принятия решений

8.2. Процедура реализации прав:

8.2.1. Подача запроса:

  • Через личный кабинет на Платформе
  • По электронной почте privacy@vsesvoi.ru
  • Заказным письмом по юридическому адресу Оператора

8.2.2. Рассмотрение запроса:

  • Срок рассмотрения: 30 календарных дней
  • Бесплатное предоставление информации
  • Возможность продления срока до 60 дней при сложности запроса

8.2.3. Форма ответа:

  • В той же форме, в которой был подан запрос
  • Электронно или письменно по выбору субъекта
  • Четкое и понятное изложение информации

9. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ

9.1. Передача персональных данных на территорию иностранных государств осуществляется только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных.

9.2. Для передачи в страны, не обеспечивающие адекватную защиту, применяются:

  • Стандартные договорные статьи, утвержденные ЕС
  • Согласие субъекта на трансграничную передачу, отдельное и явное
  • Корпоративные обязательства (Binding Corporate Rules)

10. РАБОТА С СУБПОДРЯДЧИКАМИ

10.1. Все субподрядчики, имеющие доступ к персональным данным, заключают договоры поручения обработки в соответствии со ст. 6 ФЗ-152, а так же являющиеся Операторами обработки Пнд.

10.2. Регулярный аудит субподрядчиков на соответствие требованиям защиты данных.

11. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Общие сроки хранения:

11.1.1. Данные покупателей:

  • Активные пользователи: в течение всего периода использования Платформы
  • Неактивные пользователи: 5 лет с последней активности
  • Финансовые данные: 6 лет в соответствии с налоговым законодательством

11.1.2. Данные продавцов:

  • В течение действия договора + 5 лет после его прекращения
  • Финансовые документы: 6 лет
  • Юридические документы: бессрочно (в архиве)

11.2. Процедура уничтожения данных:

  • Автоматическое удаление по истечении сроков хранения
  • Физическое уничтожение архивных носителей
  • Документирование факта уничтожения

12. ИНЦИДЕНТЫ БЕЗОПАСНОСТИ И УВЕДОМЛЕНИЯ

12.1. Классификация инцидентов:

12.1.1. Критические инциденты:

  • Утечка конфиденциальных данных
  • Несанкционированный доступ к системам
  • Утрата носителей с персональными данными

12.1.2. Существенные инциденты:

  • Нарушение конфиденциальности данных
  • Сбои в системе защиты
  • Подозрительная активность

12.2. Процедура уведомления:

12.2.1. Уведомление Роскомнадзора:

  • В течение 72 часов с момента обнаружения инцидента
  • По форме, утвержденной Приказом Роскомнадзора № 156
  • С указанием характера инцидента и принятых мер

12.2.2. Уведомление субъектов данных:

  • При высоком риске для прав и свобод субъектов
  • Без необоснованной задержки
  • Четкое и понятное описание инцидента и рекомендаций

13. ДОКУМЕНТАЦИЯ И ОТЧЕТНОСТЬ

13.1. Ведение Реестра обработки персональных данных в соответствии с ФЗ-152.

13.2. Регулярный внутренний аудит системы защиты данных (не реже 1 раза в год).

13.3. Отчетность перед Роскомнадзором по установленной форме.

14. РАЗМЕЩЕНИЕ НА САЙТЕ И ПРОЦЕДУРА ПРИНЯТИЯ

14.1. Размещение на сайте:

14.1.1. Обязательные элементы:

  • Ссылка в футере сайта: "Политика конфиденциальности"
  • Отдельная страница с полным текстом Положения
  • Поп-up окно при первом посещении с краткой информацией
  • Формы согласия в процессах регистрации и заказа

14.1.2. Требования к доступности:

  • Постоянная доступность по прямой ссылке
  • Возможность скачивания в формате PDF
  • Версия для слабовидящих
  • Мобильная адаптация

14.2. Процедура принятия Положения:

14.2.1. Для новых пользователей:

  • Явное согласие при регистрации (галочка)
  • Возможность ознакомления до дачи согласия
  • Запись времени и даты получения согласия

14.2.2. Для существующих пользователей:

  • Уведомление об изменениях за 30 дней
  • Возможность несогласия с новыми условиями
  • Процедура удаления аккаунта при несогласии

15. ОТВЕТСТВЕННОСТЬ И САНКЦИИ

15.1. Административная ответственность по ст. 13.11 КоАП РФ:

  • Предупреждение или штраф до 500 000 рублей
  • Дисквалификация должностных лиц до 3 лет

15.2. Уголовная ответственность по ст. 137 УК РФ:

  • Штраф до 300 000 рублей
  • Лишение свободы до 5 лет

15.3. Гражданско-правовая ответственность:

  • Возмещение убытков, причиненных субъектам данных
  • Компенсация морального вреда

Приложение 1: Форма согласия на обработку персональных данных Приложение 2: Политика использования cookie-файлов Приложение 3: Регламент реагирования на инциденты безопасности Приложение 4: Формы запросов субъектов персональных данных

ПРИЛОЖЕНИЕ 1 к Положению о конфиденциальности и защите данных ФОРМА СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАТНЫХ

1. ОБЩАЯ ФОРМА СОГЛАСИЯ

г. Краснодар «__» ________ 202 г.

Я, [ФИО полностью], паспорт серия [серия] № [номер], выдан [кем и когда выдан], зарегистрированный(ая) по адресу: [адрес регистрации],

даю свое согласие ООО «Все Свои Ритейл» (ОГРН 1242300003846, ИНН 2312324477, адрес: 350058, Краснодарский край, г. Краснодар ул. Новороссийская, д. 226, литер «Б», офис 20) на обработку моих персональных данных, включая:

1.1. Перечень обрабатываемых данных:

  • Фамилия, имя, отчество
  • Дата и место рождения
  • Паспортные данные
  • Адрес регистрации и проживания
  • Контактные телефоны
  • Адреса электронной почты
  • Платежные реквизиты
  • Данные о заказах и покупках
  • Технические данные (IP-адрес, cookie, данные браузера)

1.2. Цели обработки:

  • Заключение и исполнение договоров купли-продажи
  • Обработка заказов и организация доставки
  • Осуществление расчетов и возвратов
  • Предоставление информации о товарах и услугах
  • Проведение маркетинговых исследований и акций
  • Обеспечение работы Платформы «Все Свои»

1.3. Способы обработки: Как автоматизированные, так и неавтоматизированные способы, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Подпись субъекта: ___________________ Дата: «__» ________ 202___ г.

2. ФОРМА СОГЛАСИЯ НА МАРКЕТИНГОВЫЕ КОММУНИКАЦИИ

[ ] Согласен(на) получать рекламные и информационные сообщения от ООО «Все Свои Ритейл» и его партнеров по следующим каналам:

  • Электронная почта
  • SMS-сообщения
  • Push-уведомления
  • Телефонные звонки

[ ] Согласен(на) на участие в опросах и маркетинговых исследованиях

Подпись: ___________________ Дата: «__» ________ 202___ г.

ПРИЛОЖЕНИЕ 2 к Положению о конфиденциальности и защите данных ПОЛИТИКА ИСПОЛЬЗОВАНИЯ COOKIE-ФАЙЛОВ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика использования cookie-файлов (далее — «Политика») применяется к Платформе «Все Свои» и описывает использование файлов cookie и аналогичных технологий.

1.2. Cookie-файлы — это небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении веб-сайта.

2. КАТЕГОРИИ COOKIE-ФАЙЛОВ

2.1. Необходимые cookie-файлы:

  • Обеспечивают работу основных функций Платформы
  • Не могут быть отключены
  • Не требуют согласия пользователя

2.2. Функциональные cookie-файлы:

  • Запоминают предпочтения пользователя
  • Сохраняют данные авторизации
  • Могут быть отключены пользователем

2.3. Аналитические cookie-файлы:

  • Собирают анонимную статистику использования
  • Помогают улучшать пользовательский опыт
  • Требуют согласия пользователя

2.4. Маркетинговые cookie-файлы:

  • Используются для таргетированной рекламы
  • Отслеживают эффективность рекламных кампаний
  • Требуют явного согласия пользователя

3. УПРАВЛЕНИЕ COOKIE-ФАЙЛАМИ

3.1. Пользователь может управлять cookie-файлами через настройки браузера.

3.2. На Платформе предусмотрена панель управления согласием на использование cookie.

3.3. Отключение некоторых cookie-файлов может ограничить функциональность Платформы.

ПРИЛОЖЕНИЕ 3 к Положению о конфиденциальности и защите данных РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ БЕЗОПАСНОСТИ

1. ЭТАПЫ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ

1.1. Обнаружение инцидента:

  • Мониторинг систем безопасности
  • Сообщения от пользователей
  • Уведомления от субподрядчиков

1.2. Оценка инцидента:

  • Определение категории инцидента
  • Оценка масштаба и последствий
  • Определение затронутых субъектов данных

1.3. Содержание инцидента:

  • Изоляция затронутых систем
  • Сбор и сохранение доказательств
  • Предварительный анализ причин

1.4. Устранение последствий:

  • Восстановление систем и данных
  • Устранение уязвимостей
  • Проверка эффективности мер

1.5. Последующий анализ:

  • Расследование причин инцидента
  • Разработка корректирующих мер
  • Обновление процедур безопасности

2. СРОКИ УВЕДОМЛЕНИЯ

2.1. Роскомнадзор: в течение 72 часов с момента обнаружения инцидента

2.2. Субъекты данных: без необоснованной задержки при высоком риске

2.3. Субподрядчики: в течение 24 часов при затрагивании их систем

ПРИЛОЖЕНИЕ 4 к Положению о конфиденциальности и защите данных ФОРМЫ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАТНЫХ

1. ФОРМА ЗАПРОСА НА ДОСТУП К ДАННЫМ

В ООО «Все Свои Ритейл» от [ФИО полностью] паспорт серия [серия] № [номер] контактный телефон: [телефон] email: [адрес email]

ЗАПРОС Прошу предоставить мне следующую информацию:

  1. Подтверждение факта обработки моих персональных данных
  2. Перечень обрабатываемых персональных данных
  3. Цели обработки персональных данных
  4. Сроки обработки персональных данных

Прошу предоставить информацию в следующей форме: [электронно/письменно]

Дата: «__» ________ 202 г. Подпись: ___________________

2. ФОРМА ЗАПРОСА НА УДАЛЕНИЕ ДАННЫХ

В ООО «Все Свои Ритейл» от [ФИО полностью] паспорт серия [серия] № [номер]

ЗАПРОС НА УДАЛЕНИЕ На основании части 1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» прошу удалить все мои персональные данные из ваших баз данных.

Дата: «__» ________ 202 г. Подпись: ___________________

3. ФОРМА ОТЗЫВА СОГЛАСИЯ

В ООО «Все Свои Ритейл» от [ФИО полностью] паспорт серия [серия] № [номер]

ОТЗЫВ СОГЛАСИЯ Отзываю свое согласие на обработку персональных данных, данное мной «__» ________ 202___ г., в части: [указать, какие именно виды обработки отзываются]

Прошу прекратить обработку моих персональных данных и уничтожить их, за исключением случаев, когда обработка необходима для целей, предусмотренных законодательством.

Дата: «__» ________ 202 г. Подпись: ___________________