Политика оператора в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение Политики
Настоящая политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с учетом требований законодательства Российской Федерации в области персональных данных и опубликована на сайте https://lumionart.ru/ во исполнение Оператором, предусмотренных частью 2 статьи 18.1 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее – Закон о персональных данных) обязанностей по опубликованию в информационно телекоммуникационной сети документа, определяющего политику Оператора в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также по обеспечению возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Политика определяет порядок обработки Оператором персональных данных и принимаемые Оператором меры по обеспечению безопасности персональных данных и защите прав и свобод субъектов персональных данных при обработке его персональных данных.
Политика размещена в открытом неограниченном доступе и может быть просмотрена любым пользователем сети Интернет.
Политика распространяется на персональные данные, полученные Оператором посредством сайта.

1.2. Понятия, используемые в Политике
1.2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.2.2. Субъект или Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
1.2.3. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://lumionart.ru/.
1.2.4. Оператор – ООО «САД СВЕТА» самостоятельно или совместно с другими лицами организующие и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.2.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
1.2.6. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
1.2.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.2.8. Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.2.9. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.2.10. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.2.11. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных.
1.2.12. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.2.13. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.2.14. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3. Основные права и обязанности Оператора
1.3.1. Оператор вправе:
- обрабатывать персональные данные Субъекта в соответствии с заявленной целью;
- обрабатывать общедоступные персональные данные;
- поручать обработку персональных данных другому лицу с согласия Субъекта;
- предоставлять персональные данные третьим лицам, если это предусмотрено законодательством РФ;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ;
- осуществлять иные права, предусмотренные законодательством РФ.
1.3.2. Оператор обязан:
- предоставить Субъекту по его запросу информацию, касающуюся обработки его персональных данных;
- использовать персональные данные исключительно для целей, указанных в настоящей Политике.
- при сборе персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов - граждан Российской Федерации с использованием баз данных, находящихся на территории РФ;
- исполнять иные обязанности, предусмотренные законодательством РФ.

1.4. Основные права и обязанности Субъекта персональных данных
1.4.1. Субъект вправе:
1.4.1.1. получать от Оператора информацию, касающуюся обработки его персональных данных, в том числе содержащую следующие сведения:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом прав, предусмотренных законом;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения.
1.4.1.2. предоставлять Оператору достоверные персональные данные;
1.4.1.3. уведомлять Оператора об изменении своих персональных данных;
1.4.1.4. требовать у Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.4.1.5. принимать предусмотренные законом меры по защите своих прав;
1.4.1.6. отозвать свое согласие на обработку персональных данных.

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные обрабатываются Оператором в целях:
2.1. обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов и иных внутренних документов Оператора;
2.2. реализации товаров и услуг;
2.3. организации участия Субъектов в проводимых мероприятиях, конкурсах, розыгрышах, рекламных акциях и опросах, выявления победителей;
2.4. предоставления Субъектам, участникам программ лояльности, привилегий в соответствии с правилами программ лояльности;
2.5. предоставления Субъектам уведомлений и информации (рекламы) о товарах и/или услугах, о проводимых рекламных акциях Оператора и третьих лиц, которые потенциально могут представлять интерес для Субъекта, предоставления информации о предложениях Оператора и третьих лиц, повышения осведомленности о продуктах и услугах, путем направления рекламно-информационных сообщений по телефонной связи, в т.ч. смс сообщений, по электронной почте, через мессенджеры и иными способами;
2.6. сбора и формирования отзывов Субъектов на товары и услуги;
2.7. проведения опросов, статистических и маркетинговых исследований, обработки полученной информации;
2.8. приема, фиксации и ответов на сообщения, запросы и иные виды обращений Субъекта;
2.9. анализа источника посещения Сайта, поискового запроса, данных о пользовательском устройстве, информации, хранимой в cookies;
2.10. выполнения полномочий и обязанностей, возложенных на Оператора законодательством;
2.11. в иных законных целях.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовыми основаниями обработки персональных данных для достижения целей, указанных разделе 2 Политики, являются:
3.1. федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
3.2. локальные нормативные акты и иные внутренние документы Оператора;
3.3. договоры, заключаемые между Оператором и Субъектом;
3.4. согласие на обработку персональных данных.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Содержание и объем обрабатываемых персональных данных
4.1.1. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора с учетом целей обработки персональных данных, указанных в п. 2 Политики, и включает в себя, но не ограничиваясь, следующие персональные данные:
- фамилия, имя, отчество,
- адрес электронной почты,
- номер телефона,
- обезличенные данные о посетителях (в т.ч. файлы «cookie»), получаемые с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других), в том числе город или регион нахождения Субъекта,
- данные из сообщений Субъекта, оставленные им в поле для комментариев, в которых содержится любая персональная информация,
- иные данные, получаемые от Субъектом в связи с реализацией целей сбора персональных данных, установленных в разделе 2 Политики.

4.2. Категории Субъектов обрабатываемых персональных данных
4.2.1. Для достижения Оператором целей, указанных в разделе 2 Политики, Оператор обрабатывает персональные данные следующих категорий Субъектов:
• пользователи Сайта;
• другие Субъекты персональных данных.
4.2.2. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.2.3. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законом.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Используемые Оператором способы обработки персональных данных
Оператор осуществляет обработку персональных данных Субъектов следующими способами:
- обработка персональных данных без использования средств автоматизации;
- автоматизированная обработка персональных данных, в том числе на Сайте;
- смешанная обработка персональных данных.

5.2. Перечень действий с персональными данными, которых осуществляет Оператор
Оператор осуществляет сбор, получение, запись, систематизацию, поиск, анализ, получение, сравнение, сопоставление, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение и иные действия с персональными данными.
5.3. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта, если иное не предусмотрено федеральным законом.
5.4. Трансграничная передача персональных данных
5.4.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
5.4.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
5.5. Передача персональных данных в уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.6. Оператор прекращает обработку персональных данных при достижении целей обработки персональных данных, истечении срока действия согласия или отзыва согласия Субъекта на обработку его персональных данных, а также выявлении неправомерной обработки персональных данных.
5.7. Оператор вносит, уточняет персональные данные Субъекта, либо обеспечивает их уточнение после предоставления Субъектом или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
5.8. Оператор прекращает или обеспечивает прекращение обработки персональных данных в случае выявления неправомерной обработки персональных данных после такого выявления.
5.9. Оператор уничтожает персональные данные Субъекта при наступлении следующих условий:
• достижение целей обработки персональных данных или максимальных сроков хранения;
• утрата необходимости в достижении целей обработки персональных данных;
• предоставление Субъектом или его представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• невозможность обеспечения правомерности обработки персональных данных;
• отзыв Субъектом согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.

5.10. Сроки обработки персональных данных
Оператор прекращает обработку персональных данных Субъекта:
- по истечении срока согласия или при отзыве согласия (если нет других оснований для обработки, предусмотренных законодательством);
- по достижении целей обработки либо при утрате необходимости в их достижении (если нет других оснований для обработки, предусмотренных законодательством);
- при выявлении неправомерной обработки, если обеспечить правомерность невозможно.

5.11. Условия передачи персональных данных в адрес третьих лиц
Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.

5.12. Соблюдение требований конфиденциальности персональных данных
5.12.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.12.2. Обеспечение безопасности персональных данных может достигаться, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.12.3. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами.
5.13. Условия прекращения обработки персональных данных
При достижении целей обработки персональных данных, а также в случае отзыва Субъектом согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект или согласием Субъекта на обработку.
5.14. Хранение персональных данных
Хранение Оператором персональных данных Субъекта осуществляется в форме, позволяющей определить Субъекта не дольше, чем этого требуют цели их обработки.

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором Субъекту или его представителю при обращении либо при получении запроса Субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
6.2. В случае выявления неточных персональных данных при обращении Субъекта или его представителя либо по их запросу или по запросу уполномоченного государственного органа Оператор осуществляет блокирование персональных данных, относящихся к этому Субъекту, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченного государственного органа, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) Субъекта или его представителя либо уполномоченного государственного органа Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту, с момента такого обращения или получения запроса.
6.4. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект или иным соглашением между Оператором и Субъектом.
6.5. Порядок отзыва согласия Субъекта на обработку
Согласие может быть отозвано в любой момент путем направления Субъектом соответствующего заявления Оператору на адрес электронного почтового ящика info@lumionart.ru
В случае отзыва Согласия Оператор обязуется прекратить обработку персональных данных Субъекта в срок, не превышающий 30 календарных дней с момента получения указанного отзыва.