Политика конфиденциальности

(политика в отношении обработки персональных данных) редакция от 27.02.2024 г.

Настоящая Политика конфиденциальности (Политика) с учетом значений терминов и определениями, приведенными в Приложении A к Политике (Термины и определения), определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Обществом с ограниченной ответственностью «СмартКэжуал» (ОГРН 1217700179509 ИНН 9723114670, место нахождения, адрес: 119034, г. Москва, вн. тер. г. Муниципальный округ Хамовники, Сеченовский пер., д. 6, стр. 3) (Оператор).

1. Общие положения

1.1. Настоящая Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» № 152-ФЗ от 27.07.2006 (Закон о персональных данных) в целях реализации Оператором положений Законодательства, которыми определены случаи и особенности Обработки персональных данных, а также установлены требования к Обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (Субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2.Обработка персональных данных Субъектов персональных данных осуществляется Оператором в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.3. Для каждой цели обработки персональных данных Оператором определены:

соответствующие категории и перечень обрабатываемых персональных данных;
категории Субъектов персональных данных, персональные данные которых обрабатываются Оператором;
способы и сроки обработки и хранения персональных данных;
порядок уничтожения персональных данных.

1.4. Цели обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных приведены в Приложениях B и C к Политике, являющихся ее неотъемлемой частью.

2. Принципы обработки персональных данных

Организация обработки и защиты персональных данных Оператором, а также реализация процессов, при которых осуществляется Обработка персональных данных, производится с учетом следующих общих принципов обработки персональных данных, которые являются основой соблюдения требований Законодательства, обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, а также защиты прав Субъектов персональных данных:

осуществление обработки персональных данных на законной и справедливой основе;
обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицо, действующим по поручению Оператора), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством.

3. Правовые основания обработки персональных данных

Правовые основания обработки персональных данных Субъектов персональных данных устанавливаются с учетом определенных Законом о персональных данных условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных Оператором, являются:

3.1. Согласие Субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных Законодательством для соответствующей категории персональных данных;
3.2. Положения Законодательства, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, включая основные нормативные акты, приведенные в Приложении D к Политике;
3.3. Судебные акты, акты другого органа или должностного лица, подлежащие исполнению Оператором в соответствии с положениями Законодательства об исполнительном производстве;

3.4. Договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору;
3.5. Обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;
3.6. Права и законные интересы Оператора, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;
3.7. Обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
3.8. Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Законодательством и иными применимыми нормативными правовыми актами РФ;
3.9. Обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы Субъекта персональных данных.

4. Порядок рассмотрения обращений и/или запросов Субъектов персональных данных

4.1. В целях соблюдения прав и законных интересов Субъектов персональных данных, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования Субъекта персональных данных и для предоставления необходимой информации по его обращению и/или запросу осуществляется прием и обработка обращений Субъектов персональных данных, а также контроль обеспечения такого приема и обработки.
4.2. При рассмотрении обращений и/или запросов Субъектов персональных данных Оператор руководствуется положениями Законодательства, согласно которым запрос и/или обращение, направляемый и/или направляемое Субъектом персональных данных, должен/должно содержать информацию, предусмотренную Законом об обработке персональных данных.
4.3. Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от Субъектов персональных данных производится Оператором в объеме и сроки, предусмотренные Законодательством. Установленный Законодательством срок ответа Субъекту персональных данных на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен на основании установленных Законом об обработке персональных данных ограничений с направлением в адрес Субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.
4.4. Оператор, получив обращение и/или запрос Субъекта персональных данных и убедившись в его законности, предоставляет Субъекту персональных данных и/или его представителю, обладающему полномочиями на представление интересов Субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Оператором сведения не могут содержать персональные данные, принадлежащие другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
4.5. Оператор вправе отказать Субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путем направления Субъекту персональных данных или его представителю мотивированного отказа, если у Оператора в соответствии с Законодательством имеются законные основания отказать в выполнении/удовлетворении поступивших требований.

5. Меры обеспечения конфиденциальности и безопасности персональных данных

Для обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с Законом об обработке персональных данных Оператором принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие (если обработка персональных данных осуществляется лицом, действующим по поручению Оператора). В частности, принимаются следующие меры:

определяются актуальные угрозы безопасности персональных данных, обрабатываемых Оператором, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;
для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;
проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться самостоятельно и/или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);
обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем, а также пропускной режим и управление доступом в помещения и сооружения, в которых установлены указанные средства;
обеспечиваются регистрация и учет всех действий, совершаемых с персональными данными Оператором;
осуществляется организация учета технических средств, а также машинных носителей;
определяется и при необходимости актуализируется перечень лиц (работников Оператора), которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится Оператором, а также обеспечивается предоставление доступа к обрабатываемым персональным данным тем работникам Оператора, которым необходим указанный доступ в связи с выполнением ими трудовых обязанностей;
обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к персональным данным;
обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, внутри защищенного периметра, расположенного в пределах контролируемой зоны;
реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным;
обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;
осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;
проводится внешний и внутренний инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;
осуществляется эксплуатация разрешенного к использованию программного обеспечения и (или) его компонентов, а также обеспечивается контроль за его установкой и обновлением;
реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

Помимо этого, проводится оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Закона об обработке персональных данных, а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Закон об обработке персональных данных.

6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА, ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.Оператор обязан:

при обработке персональных данных соблюдать требования Законодательства в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;
при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных – граждан РФ – с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Законодательством;
при сборе персональных данных с использованием информационно-телекоммуникационной сети «Интернет», в том числе на страницах Сайта опубликовать документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу;
в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями Законодательства и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную Законом об обработке персональных данных, с учетом установленных Законодательством исключений;
выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от Уполномоченного органа;
принимать меры, направленные на обеспечение выполнения требований Закона об обработке персональных данных;
принимать меры по обеспечению безопасности персональных данных при их обработке;
выполнять обязанности по устранению нарушений Законодательства, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Законодательством;
выполнять обязанности, установленные Законом об обработке персональных данных для Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
взаимодействовать с Уполномоченным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных Закон об обработке персональных данных;
выполнять иные обязанности, предусмотренные Законодательством.

6.2. Оператор имеет право:

обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Законом об обработке персональных данных;
осуществлять передачу персональных данных Субъектов персональных данных государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных иным лицам при наличии соответствующих правовых оснований и соблюдении требований Закона об обработке персональных данных;
отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Законом об обработке персональных данных;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом об обработке персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством;
самостоятельно, с учетом требований Закона об обработке персональных данных, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
реализовывать иные права, предусмотренные Законодательством.

6.3. Субъект персональных данных имеет право:

свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований Закона об обработке персональных данных к форме и содержанию согласий на обработку персональных данных;
направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих Субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные Законодательством;
требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законодательством меры по защите своих прав с учетом исключений, установленных Закон об обработке персональных данных;
обратиться с требованием к Оператору прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
осуществлять иные права, предусмотренные Законодательством.

7. Рекомендательные технологии

На Сайте при применении информационных технологий предоставления информации осуществляется сбор, систематизация и анализ сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации.

8. Заключительные положения

8.1. Настоящая Политика вводится в действие и становится обязательной для исполнения всеми работниками Оператора с момента ее утверждения.
8.2. Настоящая Политика может быть изменена в любой момент времени по усмотрению Оператора.
8.3. В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.
8.4. Работники Оператора несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном Законодательством.
8.5. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в преамбуле Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на Сайте Оператора, если иное не предусмотрено новой редакцией Политики.
8.6. Действующая редакция хранится в месте нахождения исполнительного органа Оператора по адресу: 119034, г. Москва, вн. тер. г. Муниципальный округ Хамовники, Сеченовский пер., д. 6, стр. 3, электронная версия Политики – на Сайте Оператора по адресу: https://smartcasual.ru/politika-konfidentsialnosti/

9. Обратная связь

9.1. Адрес электронной почты: info@smartcasual.ru
9.2. Адрес для корреспонденции: ООО «СмартКэжуал» 119034, г. Москва, вн. тер. г. Муниципальный округ Хамовники, Сеченовский пер., д. 6, стр. 3.

Приложение A

Термины и определения

Если иное не следует из контекста, то термины и определения, используемые в Политике с заглавной буквы, имеют следующее значение:

Аналитические файлы cookie – служебные файлы, осуществляющие статистику количества посетителей и трафика страниц Сайта. Информация, собираемая Аналитическими файлами cookie обобщается и, соответственно, является анонимной. При запрете использования Аналитических файлов cookie Оператор не сможет отслеживать посещаемость Сайта и регулировать его работу.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Дополнительные файлы cookie – служебные файлы, помогающие Оператору исследовать эффективность маркетинговых кампаний и повышать удобство пользования Сайтом, с учетом предпочтений Посетителей.
Законодательство – совокупность нормативно-правовых актов, действующих в пределах Российской Федерации, регулирующих соответствующие правоотношения.
Информационная система – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
Исключительно автоматизированная обработка персональных данных – способ обработки персональных данных только техническими средствами без участия человека с передачей полученной информации по сети или без таковой.
Контактные (коммуникационные) данные – номер телефона, адрес электронной почты, адрес учетной записи (идентификатор пользователя) служб мгновенных сообщений, видеоконференцсвязи и IP-телефонии, адреса персональных страниц в социальных сетях.
Конфиденциальность персональных данных – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
Неавтоматизированная обработка персональных данных – способ обработки персональных данных только человеком с передачей полученной информации по сети или без таковой.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обязательные файлы cookie – служебные файлы, обеспечивающие работу Сайта; при их отключении некоторые компоненты Сайта перестанут функционировать и Сайт может работать некорректно. Обязательные файлы cookie не хранят данные, идентифицирующие личность.
Оператор — Общество с ограниченной ответственностью «СмартКэжуал» (ОГРН 1217700179509 ИНН 9723114670,, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных)
Персональные данные, разрешенные Субъектом персональных данных для распространения (Персональные данные, разрешенные для распространения)— персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.
Пользователь — любой посетитель веб-сайта Оператора.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, в том числе путем заполнения формы сбора персональных данных на Сайте Оператора.
Рекламные файлы cookie – служебные файлы, размещаемые Оператором на других сайтах в целях продвижения своих продуктов и услуг, сбора статистики и проведения исследований, позволяющие демонстрировать рекламу Оператора на других сайтах, с учетом персональных интересов Посетителя, а также предотвращать частое появление одной и той же рекламы.
Сайт – совокупность логически связанных между собой веб-страниц, являющихся местом расположения контента сервера и представляющий собой массив связанных данных, имеющий уникальный адрес и воспринимаемый как единое целое, посредством которого осуществляется предоставление доступа неограниченному кругу лиц и иные действия с персональными данными Субъекта персональных данных. Сайт Оператора включает и доступен в сети Интернет по адресу https://smartcasual.ru/.
Сведения о месте жительства и (или) пребывания – зарегистрированный адрес действительного и (или) прежних места жительства и дата регистрации по нему, фактический адрес действительного и (или) прежних места жительства или пребывания.
Сведения о документе, удостоверяющем личность – наименование и реквизиты действующего и прекратившего свое действие документа, удостоверяющего личность на и/или за пределами территории Российской Федерации, при выезде и въезде на территорию Российской Федерации, а также содержащиеся в таком документе сведения.
Согласие на обработку персональных данных — действия, подтверждающие согласие субъекта персональных данных. Согласие может быть дано в любой позволяющей подтвердить факт его получения форме, в том числе путем проставления отметки в формах сбора персональных данных на Сайте Оператора.
Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Смешанная обработка персональных данных – способ обработки персональных данных техническими средствами с участием человека с передачей полученной информации по сети или без таковой.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уполномоченный орган – орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям Законодательства РФ о персональных данных (Роскомнадзор).

Приложение B

Схема Обработки Персональных данных Оператором

Оператор производит Обработку персональных данных в соответствии с принятой им Политикой, определяя для каждой цели обработки Персональных данных категории и перечень обрабатываемых персональных данных, категории Субъектов, Персональные данные которых обрабатываются, способы, сроки их Обработки и хранения, порядок уничтожения Персональных данных при достижении целей их Обработки или при наступлении иных оснований, предусмотренных Законодательством согласно ниже приведенной схеме:

Цель Обработки персональных данных:	Доступ и использование Сайта	Продвижение продуктов, работ и услуг Оператора	Оформление, выполнение, прекращение гражданско-правовых отношений при ведение Оператором своей экономической деятельности
	Детализация целей Обработки персональных данных приведена в Приложении C Политики
Категория Персональных данных	Персональные данные, разрешенные для распространения
Перечень обрабатываемых Персональных данных	Перечень обрабатываемых Персональных данных приведен в Приложении C Политики
Категория Субъектов	физические лица (в том числе индивидуальные предприниматели и плательщики налога на профессиональный доход):
	посетители Сайта	действующие и потенциальные клиенты и представители клиентов	пользователи товаров и услуг Оператора, включая: клиентов - физических лиц (действующих и потенциальных); представителей клиентов физических и юридических лиц (действующих и потенциальных)
Способы обработка	Исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой; Неавтоматизированная обработка персональных данных; Смешанная обработка персональных данных.
Сроки обработки	Если иное не установлено императивными нормами Законодательства, Обработка Персональных данных прекращается при достижении целей Обработки, которая определяется в том числе исходя из: срок действия согласия на обработку персональных данных, данного Субъектом персональных данных; срока действия соответствующего договора (при наличии договора с Субъектом персональных данных либо с лицом, представителем которого является Субъект персональных данных) с учетом срока исковой давности по нему; срок действия поручения на обработку персональных данных (при наличии поручения на обработку персональных).
Сроки хранения	Определяются исходя из сроков хранения, установленных: приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», приказом Министерства культуры Российской Федерации от 25.08.2010 № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»; иными нормами Законодательства; локальными нормативными актами Оператора по документам, не перечисленным в выше указанных нормах Законодательства, исходя из сроков исковой давности
Порядок уничтожения Персональных данных	Персональные данные подлежат уничтожению в сроки, установленные Законом о персональных данных: по достижении целей обработки – в течение 30 дней с даты достижения целей, если иное не предусмотрено договором с Субъектом; в случае отзыва Субъектом персональных данных согласия на обработку – в течение 30 дней с даты поступления соответствующего отзыва; в случае, если сохранение персональных данных более не требуется для целей обработки; по истечении срока хранения, при выявлении факта неправомерной обработки в течение 10 рабочих дней с даты выявления неправомерной обработки; либо по требованию лица, поручившего обработку персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение сроков, установленных Законом о персональных данных, Оператор осуществляет блокирование таких Персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральным Законодательством. Уничтожение осуществляется в присутствии комиссии. По итогам составляется акт об уничтожении.

Приложение C

Детализация целей обработки персональных данных и соответствующего целям перечня обрабатываемых Персональных данных

Доступ и использование Сайта
сбор и анализа статистической информации Сайта, в том числе сбор и обработка обезличенных данных с помощью сервисов интернет-статистики (Яндекс Метрика).	При самостоятельной настройке параметров обработки файлов cookie посетителем Сайта в своем браузере, перечень обрабатываемых Оператором Персональных данных определяется непосредственно посетителем Сайта.
	Если посетитель Сайта отказался от самостоятельной настройки параметров обработки файлов cookie в своем браузере и продолжил использование Сайта, приняв условия принял условия настоящей Политики, то в отношении посетителей Сайта Оператора обрабатываются следующие Персональные данные: Обязательные файлы cookie; Аналитические файлы cookie; Дополнительные файлы cookie; Рекламные файлы cookie. данные о трафике (метаданных), в частности, сведений об установленных соединениях с указанием времени и продолжительности соединения, номеров или IP-адресов устройств, участвующих в коммуникации.
Продвижение товаров и услуг Оператора
регистрация и/или авторизации на сайте Оператора; проведение маркетинговых опросов и иных исследований; оценка покупательских особенностей и предоставления персональных рекомендаций; направлении информационных и/или рекламных (маркетинговых) материалов; продвижения продуктов, работ и услуг, реализуемых Оператором в том числе посредством прямых контактов с использованием средств связи; информирование об акциях, мероприятиях, скидках и специальных предложениях посредством электронных и СМС-рассылок и телефонных звонков.	При этом Персональные данные действующих и потенциальных клиентов и представителей клиентов включают: фамилия, имя, отчество; контактные (коммуникационные) данные – номер телефона, адрес электронной почты; при этом для клиентов, являющихся индивидуальными предпринимателями либо представителями клиентов юридических лиц (действующих и потенциальных) дополнительно включают: сведения о статусе индивидуального предпринимателя либо наименования и организационно-правовой формы юридического лица; индивидуального номера налогоплательщика индивидуального предпринимателя либо юридического лица, соответственно; фактический адрес индивидуального предпринимателя либо юридического лица.
Оформление, выполнение, прекращение гражданско-правовых отношений при ведение Оператором своей экономической деятельности
сбор информации, необходимой для прохождения процедуры оценки налоговых и иных рисков при ведении хозяйственной деятельности; заключение и исполнение договоров; ведение бухгалтерского и налогового учета, оформление первичных и платежных документов проведение аналитических исследований для улучшения и оценки продуктов, работ и услуг, реализуемых Оператором.	При этом Персональные данные включают следующие данные
	клиентов-физических лиц:	клиентов-индивидуальных предпринимателей и представителей юридических лиц:
	фамилия, имя, отчество; контактные (коммуникационные) данные – номер телефона, адрес электронной почты;
	возраст, дата (день, месяц, год) и место рождения; сведения о гражданстве или подданстве; сведения о документе, удостоверяющем личность – наименование и реквизиты действующего документа, удостоверяющего личность на территории Российской Федерации, а также содержащиеся в таком документе сведения; финансово-платежные сведения – реквизиты расчетного/лицевого банковского/платежного счета или карты, а также данные подтверждающих документов; адрес доставки.	сведения о статусе и полномочиях на представление интересов – сведения о действительном представителя по доверенности и/или по закону, сведения об объеме полномочий на представление интересов, а также данные подтверждающих документов; для клиентов-индивидуальных предпринимателей: сведения о месте жительства и (или) пребывания – зарегистрированный адрес места жительства или пребывания; сведения об индивидуальном налоговом учете – идентификационный номер налогоплательщика (ИНН), сведения о налоговом статусе, данные подтверждающих документов; сведения об индивидуальной экономической деятельности – сведения о ведении предпринимательской и иных видов индивидуальной экономической деятельности (например, в качестве самозанятого лица), основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП) и сведения о соответствующей регистрации сведения об обязательном социальном страховании – страховой номер индивидуального лицевого счета (СНИЛС), дата его регистрации и состояние, сведения о страховых взносах во внебюджетные фонды (СФР, ФОМС); сведения о договорах гражданско-правового характера – сведения об условиях, заключении, исполнении, изменении и прекращении договоров гражданско-правового характера, стороной которых либо выгодоприобретателем или поручителем по которым является физическое лицо.

Приложение D

Перечень основных нормативных актов, регулирующих Обработку Персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Гражданский кодекс Российской Федерации (ч. 1-4).
Налоговый кодекс Российской Федерации (ч. 1-2).
Трудовой кодекс Российской Федерации.
Закон РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации».
Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».
Закон Российской Федерации от 07.02.1992 № 2300-1 «О защите прав потребителей».
Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации».
Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью».
Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний».
Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей».
Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве».
Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (зарегистрировано в Минюсте России 14.05.2013 № 28375).
Приказ Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных ООО "Стефанель Ритейл" (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. В основе обработки персональных данных в Обществе лежат следующие принципы:

Осуществление обработки персональных данных на законной и справедливой основе;
Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
Соответствие содержания и объема обрабатываемых персональных данных заявленным целям их обработки, отсутствие избыточности обрабатываемых персональных данных по отношению к целям их обработки;
Недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

1.3 С учетом большого объема (массовости) документов, содержащих персональные данные, и строго регламентированного порядка их хранения пометка конфиденциальности на них не ставится.

1.4. Оператор при осуществлении своей деятельности может передавать персональные данные субъектов государственным органам в рамках осуществления последними своих полномочий и функций, а также контрагентам Оператора (банкам, службам доставки, и др.) в строгом соответствии с требованиями обеспечении безопасности этих данных.

1.5. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://smartcasual.ru.

1.6. Действие настоящей Политики распространяется на всех руководителей и сотрудников Оператора (временных и постоянных), а также руководителей и сотрудников сторонних организаций, связанных договорными отношениями с Оператором и тем или иным образом участвующих в деятельности Оператора, связанной с обработкой персональных данных.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://smartcasual.ru;

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://smartcasual.ru;

2.9. Пользователь – любой посетитель веб-сайта https://smartcasual.ru;

2.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.11. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

2.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

2.13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

3. Оператор может обрабатывать следующие персональные данные Пользователя

3.1. Фамилия, Имя, Отчество, контактный номер телефона, адрес электронной почты, дату рождения, пол, адрес доставки товара..

3.2. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

3.3. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

4. Цели обработки персональных данных

Обработка персональных данных Пользователей осуществляется в следующих целях:

4.1. Регистрации/авторизации на Веб-сайте;

4.2. Обработки заказов, оформленных на Веб-сайте, в том числе взаимодействие в рамках мероприятий, осуществляемых Оператором;

4.3. Продвижения товаров и услуг, реализуемых Оператором, посредством прямых контактов с использованием средств связи;

4.4. Оценки и анализа Веб-сайта, оценки покупательских особенностей и предоставления персональных рекомендаций;

4.5. Информирования об акциях, мероприятиях, скидках и специальных предложениях посредством электронных и СМС-рассылок.

4.6. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты info@smartcasual.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

4.7. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

5. Правовые основания обработки персональных данных

5.1. Обработка персональных данных осуществляется Оператором на основании согласия субъекта персональных данных на обработку его персональных данных, выраженного посредством заполнения специальных форм на Веб-сайте. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://smartcasual.ru. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

5.2. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript). «Cookie» не содержат информацию, составляющую персональные данные, а направлены исключительно на персонализацию Веб-сайта в отношении конкретного пользовательского устройства. Настройки использования «cookie» зависят от настроек браузера посетителя Веб-сайта.

5.3. Оператор получает информацию об ip-адресе посетителя Веб-сайта и сведения о том, по ссылке с какого интернет-сайта посетитель пришел. Данная информация не используется для установления личности субъекта персональных данных.

5.4. Обработка персональных данных осуществляется в случаях, когда необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций и обязанностей.

5.5. Обработка персональных данных осуществляется в случаях, когда необходима для исполнения договора, стороной которого либо выгодоприобретателем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем.

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

6.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

6.2. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора info@smartcasual.ru с пометкой «Актуализация персональных данных». При обращении Пользователя или его представителя либо по их запросу или по запросу Уполномоченного органа по защите прав субъектов персональных данных Оператор осуществит блокирование персональных данных, относящихся к этому Пользователю, или обеспечит их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.3. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора info@smartcasual.ru с пометкой «Отзыв согласия на обработку персональных данных».

6.4. В случае отзыва Пользователем согласия на обработку его персональных данных Оператор прекратит их обработку или обеспечит прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожит персональные данные или обеспечит их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 7 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Пользователь, иным соглашением между Оператором и Пользователем либо если Оператор не вправе осуществлять обработку персональных данных без согласия Пользователя на основаниях, предусмотренных действующим законодательством.

6.5. Обработка персональных данных прекращается или обеспечивается её прекращение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора, а собранные персональные уничтожаются в срок, установленные ФЗ №152 «О персональных данных», в следующих случаях, если иное не установлено законодательством Российской Федерации:

по истечению установленного срока обработки персональных данных;
по достижении целей обработки или при утрате необходимости в их достижении;
по требованию Пользователя или Уполномоченного органа по защите прав субъектов персональных данных — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
при отзыве Пользователем согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с федеральным законодательством;
при невозможности устранения Оператором допущенных нарушений при обработке персональных данных.

6.6. Оператор может поручать обработку Персональных данных другому лицу. При этом Оператор будет выполнять требования к поручению обработки персональных данных, предусмотренные ФЗ № 152 «О персональных данных». В случае, если на Веб-сайте заполняется форма на заказ услуг партнеров Оператора (службы доставки и т.п.), то обработка Персональных данных поручается соответствующему партнеру Оператора.

6.7. Оператор может передавать персональные данные, в том числе осуществлять трансграничную передачу персональных данных, своим аффилированным лицам в России и за рубежом.

7. Трансграничная передача персональных данных

7.1 Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

7.2 Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на− трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

8. Ответственность

8.1. Ответственность за выполнение требований ФЗ №152 «О персональных данных» в Общества возложена на руководство Общества и сотрудников Общества. Ответственность за организацию обработки и обеспечения безопасности персональных данных в соответствии с требованиями ФЗ №152 «О персональных данных» и настоящей Политикой возложена на структурные подразделения/должностные лица, ответственные за обеспечение безопасности и конфиденциальности персональных данных.

8.2. Персональная ответственность за выполнение требований по обработке и обеспечению безопасности и конфиденциальности персональных данных возложена на руководителей структурных подразделений и сотрудников Оператора, осуществляющих обработку персональных данных.

8.3. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

8.4. В случае если в результате действий работника был причинен подлежащий возмещению Оператором ущерб третьим лицам, работник несет перед Оператором материальную ответственность в соответствии с главой 36 Трудового кодекса РФ.

8.5. В случае разглашения персональных данных, ставших известными работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, трудовой договор с работником может быть расторгнут работодателем (подпункт «в» пункта 6 статьи 81 Трудового кодекса РФ).

9. Заключительные положения

9.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты info@smartcasual.ru.

9.2. К настоящей Политике и отношениям, возникающим в связи с ее применением, подлежит применению право Российской Федерации. В случае изменений законодательных и иных нормативных актов Российской Федерации настоящая Политика, а также изменения к ней, применяются в части, не противоречащей вновь принятым законодательным и иным нормативно-правовым актам Российской Федерации.

9.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения в сети интернет на Веб-сайте.

9.4. Все предложения, замечания или вопросы по поводу настоящей Политики субъекты персональных данных вправе направлять по адресу электронной почты info@smartcasual.ru. Оператор обрабатывает такие предложения, замечания или вопросы в соответствии с действующим законодательством Российской Федерации.

9.5. Актуальная версия Политики конфиденциальности.