Политика безопасности
Политика безопасности интернет-магазина horig.ru Хорошие Игры
1. Общие положения и термины
1.1. Целью Политики в отношении обработки персональных данных пользователей сайта интернет-магазина horig.ru Хорошие Игры (далее Интернет-магазин) является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований законодательства Российской Федерации и международных договоров Российской Федерации в области персональных данных.
1.2. Настоящая политика определяет общие принципы, цели и порядок обработки персональных данных пользователей сайта интернет-магазина horig.ru и устанавливает общие требования к обеспечению их безопасности, основные задачи, функции и права подразделений и работников, в обязанности которых входит обработка персональных данных и обеспечение их безопасности.
1.3. Настоящая Политика является дополнением к Политике в отношении обработки персональных данных размещенной на сайте horig.ru.
1.4. Политика в отношении обработки персональных данных разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами Российской Федерации, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.5. Действие Политики распространяется на все предусмотренные настоящей Политикой персональные данные субъектов персональных данных (в соответствии с определением ниже), обрабатываемые интернет-магазином с применением средств автоматизации и без применения таких средств, а также персональные данные, обработку которых интернет-магазин поручает иному лицу.
1.6. Интернет-магазин оформляет настоящую Политику как официальную Политику horig.ru и публикует Политику на своем официальном сайте путем размещения Политики или ссылки на нее, а также предоставляет неограниченный доступ к ней любому лицу, лично обратившемуся к интернет-магазину.
1.7. В Политике используются следующие термины и определения:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет;
конфиденциальность персональных данных – режим работы с персональными данными с соблюдением обязанности лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
субъект персональных данных – физическое лицо, к которому относятся персональные данные;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Статус интернет-магазина и категории субъектов, чьи персональные данные обрабатываются интернет-магазином
2.1. Интернет-магазин является оператором персональных данных следующих субъектов:
2.1.1 Пользователи интернет-магазина horig.ru
Цели обработки:
получение сервисов и услуг в отношении продукции представленной в интернет-магазине horig.ru, в том числе, информирование о возможности приобретения продукции в интернет-магазине horig.ru или сервисов и услуг;
Категории обрабатываемых персональных данных:
имя; фамилия; контактный телефон; адрес для доставки; контактный адрес электронной почты (e-mail), сведения о покупках в интернет-магазине;
Срок обработки:
весь период использования интернет-магазина (регистрации в интернет-магазине), за исключением случаев, когда пользователь интернет-магазина не получает сервисов и услуг, предоставляемых интернет-магазином, в течение более, чем 5 (пяти) лет.
2.1.2. Зарегистрированные (авторизованные) пользователи сайта
Цели обработки:
получение сервисов и услуг, предоставляемых сайтом horig.ru, в том числе информирование о товарах в интернет-магазина horig.ru и проводимых им акциях;
Категории обрабатываемых персональных данных:
имя; контактный адрес электронной почты (e-mail);
Срок обработки:
весь период использования cайта (регистрации на сайте), за исключением случаев, когда пользователь сайта не получает сервисов и услуг, предоставляемых сайтом, в течение более, чем 5 (пяти) лет.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных интернет-магазином и по его поручению осуществляется в соответствии со следующими принципами:
3.1.1. Законность и справедливая основа обработки персональных данных. Интернет-магазин принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством и не требуется для достижения определенных интернет-магазином целей, не использует персональные данные во вред субъектам таких данных.
3.1.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей.
3.1.3. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки; соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки; недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям обработки персональных данных. Интернет-магазин не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в пункте 2.1 Политики, не использует персональные данные субъектов в каких-либо целях, кроме указанных.
3.1.4. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
3.1.5. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Интернет-магазин принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои персональные данные и требовать от Интернет-магазина их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки без объяснения причин такого требования.
3.1.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если сроки и основания хранения персональных данных не установлены законодательством, договором, стороной которого является субъект персональных данных, а также согласием субъекта персональных данных на обработку данных.
3.1.7. Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Интернет-магазином допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, истечении срока обработки персональных данных, установленных согласием на обработку персональных данных, если иное не предусмотрено законодательством или договорами с субъектами персональных данных.
4. Условия обработки персональных данных
4.1. Обработка персональных данных Интернет-магазином допускается в следующих случаях:
4.1.1. При наличии согласия субъекта персональных данных на обработку его персональных данных.
4.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных законодательством, а также для осуществления и выполнения возложенных законодательством на Интернет-магазин функций, полномочий и обязанностей.
4.1.3. Для заключения договора по инициативе субъекта персональных данных и исполнения договора, стороной которого или выгодоприобретателем по которому является субъект персональных данных.
4.1.4. Обработка персональных данных Интернет-магазином необходима для осуществления прав и законных интересов Интернет-магазина и/или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.
4.1.5. Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
4.1.6. Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. В связи с тем, что к такой обработке относится в том числе обработка персональных данных, полученных из общедоступных источников (включая размещённую на информационных ресурсах в сети Интернет), Интернет-магазин не принимает на себя обязанности по проверке достоверности и правомерности размещения таких персональных данных.
4.1.7. Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.
4.2. Интернет-магазин не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством, договором с субъектом персональных данных, не указано в полученном от него согласии на обработку персональных данных, или персональные данные не сделаны субъектом общедоступными самостоятельно.
4.3. Интернет-магазин не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состояния здоровья и о членстве субъектов персональных данных в общественных объединениях.
4.4. Интернет-магазин не осуществляет трансграничную передачу персональных данных субъектов.
4.5. Интернет-магазин не принимает решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
5.Способы обработки
5.1. Интернет-магазин осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.
5.2. Настоящая Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке персональных данных без использования средств автоматизации – только на те случаи, когда такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
5.3. Настоящая Политика предусматривает обработку персональных данных любыми способами, предусмотренными законодательством, в том числе путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных.
5.4. При сборе персональных данных Интернет-магазин обеспечивает запись, систематизацию, накопление, первичное хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся в офисе Интернет-магазина и в дата-центрах на территории Российской Федерации в соответствии с требованиями законодательства.
5.5. В случае авторизации субъекта персональных данных на сайте Интернет-магазина через его аккаунт в социальной сети или учетной записи на сайте третьего лица, такой способ авторизации может передавать информацию, косвенно идентифицирующую пользователя, например, имя пользователя и пароль, в соответствующую социальную сеть или третьим лицам. Социальная сеть или третье лицо может также автоматически собирать информацию, такую как IP-адрес, информацию о браузере и устройстве, а также адрес веб-страницы, которую пользователь посещает на сайте Интернет-магазина. При этом Интернет-магазин не несет ответственности за деятельность таких третьих лиц. Авторизовываясь на сайте Интернет-магазина с помощью своего аккаунта в социальной сети или другой учетной записи на сайте третьего лица субъект персональных данных даёт своё согласие на возможность получения указанной в настоящем пункте информации такими социальными сетям и третьими лицами.
6.Конфиденциальность персональных данных
6.1. Интернет-магазин обеспечивает конфиденциальность обрабатываемых им персональных данных в порядке, предусмотренном законодательством.
6.2. В соответствии с настоящей Политикой Интернет-магазин может осуществлять обработку персональных данных указанными выше способами самостоятельно, а также с привлечением третьих лиц, осуществляющих обработку персональных данных указанных выше субъектов по поручению Интернет-магазина, и иных третьих лиц, которые привлекаются Интернет-магазином и осуществляют обработку в соответствии с настоящей Политикой.
6.3. Интернет-магазин вправе с согласия субъекта поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку персональных данных по поручению Интернет-магазина, соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством. Объем передаваемых другому лицу для обработки персональных данных и используемые этим лицом способы обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Интернет-магазином.
6.4. В поручении Интернет-магазина должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.5. При выполнении поручения Интернет-магазина на обработку персональных данных лицо, которому такая обработка поручена, вправе использовать для обработки персональных данных свои информационные системы, соответствующие требованиям безопасности, установленным законодательством, что отражается Интернет-магазином в заключаемом договоре поручения на обработку персональных данных, либо в договоре, содержащем положения о поручении на обработку персональных данных.
6.6. В случае, если Интернет-магазин поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Интернет-магазин. Лицо, осуществляющее обработку персональных данных по поручению Интернет-магазина, несет ответственность перед Интернет-магазином.
6.7. Интернет-магазин вправе разместить свои информационные системы персональных данных на хостинге или в дата-центре иных лиц. Если договором с Интернет-магазином информационной системы, обеспечивающим услуги хостинга и/или дата-центром доступ персонала Интернет-магазина информационной системы (дата-центра) к информационной системе персональных данных не допускается, данное размещение не рассматривается как поручение Интернет-магазину информационной системы (дата-центру) обработки персональных данных и не требует согласия субъектов персональных данных.
7.Согласие субъекта персональных данных на обработку своих персональных данных
7.1. Субъект персональных данных принимает решение о предоставлении его персональных данных Интернет-магазину и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных является конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами.
В частности, согласие считается предоставленным, если субъект персональных данных отмечает соответствующее поле («тик-бокс») в регистрационной форме на сайте Интернет-магазина, или путем нажатия кнопки «Согласен» чтобы подтвердить согласие с настоящей Политикой (и иными документами по вопросам обработки персональных данных).
7.2. Согласие пользователя сайта на обработку данных косвенно идентифицирующей такого пользователя информацией, получаемой Интернет-магазином при использовании файлов cookie, дается путем принятия условий Политики в отношении файлов cookie и отметки соответствующего поля («тик-бокс») в форме на сайте Интернет-магазина или путем нажатия на соответствующей иконке уведомления (и/или путем нажатия на иконку закрытия баннера) со ссылкой на Политику в отношении файлов cookie.
7.3. Согласие субъекта на предоставление его персональных данных не требуется при получении Интернет-магазином, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности и иных органов, уполномоченных запрашивать информацию в соответствии с федеральными законами.
7.4. Субъект персональных данных вправе в любой момент отозвать свое согласие на обработку персональных данных Интернет-магазином, подав заявление в электронной форме с использованием аккаунта (учетной записи) соответствующего пользователя на сайте Интернет-магазина.
7.5. В случае получения отзыва в бумажной форме, Интернет-магазин в целях идентификации субъекта персональных данных вправе запросить у такого лица дополнительные сведения, предоставленные субъектом персональных данных при регистрации на сайте Интернет-магазина, либо попросить данное лицо направить электронный запрос на отзыв согласия через соответствующий аккаунт (учетную запись) субъекта персональных данных на сайте Интернет-магазина. В случае невыполнения обратившимся лицом указанных дополнительных действий Интернет-магазин вправе отказать такому лицу в отзыве согласия на обработку персональных данных в целях защиты прав третьих лиц.
7.6. Последствия отзыва субъектом персональных данных согласий на обработку.
7.6.1. В случае отзыва ранее данного согласия на обработку персональных данных пользователем интернет-магазина horig.ru, он не сможет воспользоваться интернет-магазином и предоставляемыми с его помощью услугами, в том числе, возможностью приобретения и доставки продукции.
7.6.2. В случае отзыва ранее данного согласия на обработку персональных данных зарегистрированным (авторизованным) пользователем сайта, он не сможет воспользоваться сайтом и предоставляемыми с его помощью услугами, в том числе, возможностью информирования о продукции Интернет-магазина и проводимых им акциях.
7.6.3. В случае отзыва ранее данного согласия на обработку персональных данных участником маркетинговых акций на сайте Интернет-магазина, он не сможет принять участие в проводимой акции, получить вознаграждение, а также воспользоваться возможностью информирования о продукции Интернет-магазина и проводимых им акциях.
7.7. В случае отзыва субъектом согласия на обработку своих персональных данных, если законных оснований продолжить их обработку нет, Интернет-магазин прекращает обработку таких персональных данных (обеспечивает прекращение их обработки лицами, которым такая обработка поручена Интернет-магазином) и уничтожает персональные данные (обеспечивает уничтожение персональных данных) в срок, не превышающий 30 дней с даты поступления указанного отзыва.
8.Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей подтверждение факта обработки его персональных данных Интернет-магазином; сведения о лицах (за исключением работников Интернет-магазина), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Интернет-магазином или в соответствии законодательством, информацию об осуществленной или о предполагаемой трансграничной передаче данных; иные сведения, предусмотренные законодательством.
8.2. Субъект персональных данных вправе требовать от Интернет-магазина уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также вправе принимать предусмотренные законодательством меры по защите своих прав.
8.3. Требование субъекта должно быть представлено в письменной или электронной форме с указанием сведений о документе, удостоверяющем личность, или персональных данных, указанных им при предоставлении своих персональных данных Интернет-магазину, и позволяющих его идентифицировать.
8.4. Запрос субъекта на предоставление информации, связанной с обработкой его персональных данных Интернет-магазином должен содержать:
фамилию, имя и отчество субъекта персональных данных или его представителя;
номер основного документа, удостоверяющего личность субъекта персональных данных, а также его представителя (если запрос направлен представителем), сведения о дате выдачи указанного документа (документов) и выдавшем его (их) органе (органах);
сведения, подтверждающие участие субъекта персональных данных в отношениях с Интернет-магазином;
подпись субъекта персональных данных или его представителя.
9. Сведения о реализуемых требованиях к защите персональных данных
9.1. Защита персональных данных, обрабатываемых Интернет-магазином, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
9.2. Правовые меры включают в себя:
• разработку локальных актов Интернет-магазина, реализующих требования российского законодательства, а именно настоящей Политики и сопутствующих документов в отношении обработки персональных данных, и размещение их на сайте Интернет-магазина;
• отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенных Интернет-магазином.
9.3. Организационные меры включают себя:
• назначение лица, ответственного за организацию обработки персональных данных;
• ограничение состава работников Интернет-магазина и иных лиц, привлекаемых Интернет-магазином к обработке персональных данных, и организацию разрешительной системы доступа к ним;
• ознакомление работников Интернет-магазина или иных уполномоченных на обработку лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами Интернет-магазина по вопросам обработки персональных данных, обучение указанных работников;
• регламентацию процессов обработки персональных данных;
• организацию Интернет-магазином и лицами, осуществляющими обработку персональных данных по поручению Интернет-магазина, учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
• определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз; формирование модели угроз, нейтрализацию которых обеспечивают лица, которым поручил обработку Интернет-магазин, эти лица осуществляют самостоятельно;
• размещение технических средств обработки персональных данных в пределах охраняемой территории;
• ограничение допуска посторонних лиц в помещения Интернет-магазина, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Интернет-магазина.
9.4. Технические меры включают в себя:
• определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности;
• определение уровня защищенности персональных данных и реализацию требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
• использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных; реализацию разрешительной системы доступа к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации;
• регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные;
• выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Интернет-магазина и лица, осуществляющего обработку персональных данных по его поручению, обеспечивающих соответствующую техническую возможность;
• безопасное межсетевое взаимодействие (применение межсетевого экранирования);
• обнаружение вторжений в информационную систему Интернет-магазина и лица, осуществляющего обработку персональных данных по его поручению, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных), в том числе - лицом, осуществляющим обработку персональных данных по поручению Интернет-магазина;
• периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;
• контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации).
10. Заключительные положения
10.1. Настоящая Политика подлежит размещению на сайте Интернет-магазина с предоставлением неограниченного доступа к ней любого лица.
10.2. Положения настоящей Политики могут пересматриваться по мере необходимости с опубликованием соответствующих изменений. Обязательный пересмотр Политики проводится в случае существенных изменений законодательства в сфере персональных данных.
10.3. Субъекты персональных данных предоставляют свое полное и безоговорочное согласие со всеми положениями и условиями настоящей Политики. В случае несогласия субъектов персональных данных с положениями настоящей Политики субъекты не должны предоставлять свои персональные данные Интернет-магазину в соответствующих формах.
10.4. В случае возникновения вопросов относительно положений и порядка действия настоящей Политики субъект персональных данных в любое время вправе обратиться за разъяснениями к Интернет-магазину, направив обращение на адрес электронной почты: mail@horig.ru
