1. Общие положения и термины

Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон 152-ФЗ»), Постановлением Правительства РФ от 01.11.2012 № 1119, Приказом Роскомнадзора от 24.02.2021 № 18 и иными нормативно-правовыми актами Российской Федерации в области защиты персональных данных.

Политика определяет порядок обработки персональных данных, осуществляемой Индивидуальным предпринимателем Рукавишниковым Андреем Борисовичем (далее — «Оператор»), и меры по обеспечению безопасности персональных данных, принимаемые Оператором.

Политика применяется ко всей информации, относящейся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных), которую Оператор может получить о посетителях и пользователях веб-сайта https://sto-tvk.ru (включая алиасные домены customs-tuning.ru, customstuning.ru, а также раздел блога https://sto-tvk.ru/blog/), о покупателях интернет-магазина и о клиентах мастерской (СТО), расположенной по адресу: г. Тюмень, ул. Тополиная, д. 47.

В настоящей Политике используются понятия в значениях, определённых статьёй 3 Закона 152-ФЗ, в том числе: персональные данные, обработка, оператор, субъект персональных данных, информационная система персональных данных, обезличивание, блокирование, уничтожение, трансграничная передача.

2. Сведения об операторе

3. Принципы обработки персональных данных

Оператор осуществляет обработку персональных данных в соответствии со следующими принципами (ст. 5 Закона 152-ФЗ):

1. Обработка осуществляется на законной и справедливой основе.
2. Обработка ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
3. Не допускается объединение баз данных, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых данных соответствуют заявленным целям; не допускается избыточность.
5. При обработке обеспечивается точность, достаточность и актуальность персональных данных по отношению к целям обработки.
6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, либо иной срок, установленный законом или договором. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию.

4. Цели обработки и категории персональных данных

Оператор обрабатывает персональные данные в следующих целях:

Оператор не обрабатывает специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, состояние здоровья, интимная жизнь и др.) и биометрические персональные данные.

5. Правовые основания обработки

Обработка персональных данных Оператором осуществляется на следующих правовых основаниях (ст. 6 Закона 152-ФЗ):

1. Согласие субъекта персональных данных — для целей, требующих явного согласия (направление рекламных сообщений, веб-аналитика на основе cookies).
2. Исполнение договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по его инициативе (договор розничной купли-продажи, договор оказания услуг СТО) — для целей 1, 2, 3, 5.
3. Исполнение обязанностей, установленных законом, — для цели 8 (Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники», Налоговый кодекс РФ, Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»).
4. Осуществление прав и законных интересов оператора при условии соблюдения прав и свобод субъекта персональных данных — для цели 4 (рассмотрение обращений) и в части обеспечения безопасности сайта.

6. Категории субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

• Посетители сайта https://sto-tvk.ru и его алиасов
• Зарегистрированные пользователи Личного кабинета
• Покупатели интернет-магазина
• Клиенты станции технического обслуживания (СТО)
• Лица, направившие обращение через формы обратной связи или иные каналы связи
• Подписчики информационной рассылки (при наличии согласия)
• Контрагенты-физические лица, представители контрагентов-юридических лиц

7. Перечень действий с персональными данными

Оператор осуществляет следующие действия с персональными данными:

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных осуществляется как с использованием средств автоматизации (через информационные системы Оператора), так и без использования таких средств.

В рамках своей деятельности Оператор передаёт персональные данные по информационно-телекоммуникационной сети «Интернет» в случаях, предусмотренных разделом 8 настоящей Политики.

8. Передача персональных данных третьим лицам (поручение обработки)

Оператор поручает обработку персональных данных следующим третьим лицам в объёме, необходимом для достижения целей, указанных в разделе 4. Передача осуществляется на основании ст. 6 ч. 3 Закона 152-ФЗ при наличии согласия субъекта персональных данных и при соблюдении соответствующими лицами требований законодательства Российской Федерации в области защиты персональных данных.

Оператор обязуется указанных третьих лиц обрабатывать передаваемые персональные данные исключительно в целях, указанных в настоящей Политике, и обеспечивать их конфиденциальность и безопасность. Перечень обработчиков может изменяться; актуальная редакция Политики доступна на сайте https://sto-tvk.ru.

Оператор не передаёт персональные данные неопределённому кругу лиц и не раскрывает их без согласия субъекта, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

9. Файлы cookie и веб-аналитика

Сайт использует файлы cookie — небольшие текстовые файлы, которые сохраняются в браузере пользователя при посещении сайта. Cookie позволяют сайту распознавать пользователя при повторных визитах, сохранять его предпочтения и анализировать поведение для улучшения сервиса.

9.1. Категории используемых cookie

9.2. Яндекс.Метрика

На сайте используется сервис веб-аналитики «Яндекс.Метрика», предоставляемый ООО «Яндекс». Метрика собирает обезличенные данные о посещаемости сайта (IP-адрес, идентификатор cookie, страницы посещения, время сессии, параметры устройства). Передача данных в Яндекс.Метрику осуществляется только при согласии пользователя на использование аналитических cookie через cookie-баннер при первом посещении сайта.

Условия обработки данных сервисом «Яндекс.Метрика» определяются ООО «Яндекс» и доступны по адресу: https://yandex.ru/legal/confidential/ и https://yandex.ru/legal/metrica_termsofuse/.

Пользователь может отказаться от сбора данных Яндекс.Метрикой:

• Через cookie-баннер при первом посещении сайта (выбрав «Только необходимые» или сняв галочку «Аналитические cookie»)
• Установив в браузере блокировщик, например, официальное расширение «Блокировщик Яндекс.Метрики»
• Очистив cookie в браузере (приведёт к повторному показу cookie-баннера)

9.3. Cookie-баннер

При первом посещении сайта пользователю отображается cookie-баннер, в котором он может выбрать одну из опций: «Принять все cookie», «Только необходимые cookie» либо перейти в раздел «Настройки» для гранулярного выбора категорий. Выбор пользователя сохраняется и не запрашивается повторно при последующих посещениях, за исключением случаев очистки cookie в браузере или истечения срока хранения настроек (12 месяцев).

10. Сроки обработки и хранения персональных данных

Оператор устанавливает следующие сроки хранения персональных данных по категориям обработки:

По достижении указанных сроков либо в случае отзыва субъектом согласия и отсутствия иных правовых оснований для продолжения обработки персональные данные подлежат уничтожению или обезличиванию. Уничтожение производится не позднее 30 рабочих дней с момента наступления соответствующего основания.

11. Права субъекта персональных данных и порядок их реализации

Субъект персональных данных имеет право (ст. 14, 15, 21 Закона 152-ФЗ):

1. Получать информацию об обработке его персональных данных Оператором (факт обработки, цели, правовые основания, перечень обрабатываемых данных, источники получения, сроки обработки и хранения).
2. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3. Отозвать своё согласие на обработку персональных данных в любой момент.
4. Возражать против обработки персональных данных в целях продвижения товаров, работ и услуг (отказ от рекламной рассылки) либо потребовать прекращения такой обработки.
5. Обжаловать действия или бездействие Оператора в Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) либо в судебном порядке.
6. На осуществление иных прав, предусмотренных Законом 152-ФЗ.

11.1. Порядок обращения

Для реализации указанных прав субъект персональных данных направляет Оператору запрос:

• На адрес электронной почты privacy@sto-tvk.ru (с темой письма «Запрос по обработке персональных данных»), либо
• В письменной форме по почтовому адресу: 625014, г. Тюмень, ул. Тополиная, д. 47, ИП Рукавишникову А.Б., с пометкой «По вопросам обработки персональных данных».

В запросе указываются:

• Фамилия, имя, отчество субъекта
• Реквизиты документа, удостоверяющего личность (для подтверждения, что запрос подаётся самим субъектом или его законным представителем)
• Сведения, подтверждающие участие субъекта в отношениях с Оператором (например, номер заказа, адрес электронной почты, использованный при регистрации)
• Подпись субъекта или его представителя
• Существо запроса

Оператор рассматривает запрос и направляет ответ в срок, не превышающий 10 рабочих дней с даты получения запроса. В случаях, предусмотренных законом, срок может быть продлён, но не более чем на 5 рабочих дней с одновременным уведомлением субъекта.

11.2. Отзыв согласия на обработку персональных данных

Субъект персональных данных вправе в любой момент отозвать своё согласие на обработку, направив соответствующее уведомление одним из способов, указанных в п. 11.1. Уведомление об отзыве должно содержать формулировку «Отзыв согласия на обработку персональных данных» и идентифицировать субъекта.

В случае отзыва согласия Оператор прекращает обработку персональных данных в течение 30 рабочих дней с момента получения уведомления, за исключением случаев, когда обработка должна быть продолжена в силу закона (например, для исполнения обязанностей по налоговому или бухгалтерскому учёту по уже исполненным договорам).

12. Меры защиты персональных данных

Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

12.1. Правовые меры

• Утверждение настоящей Политики в отношении обработки персональных данных
• Утверждение Положения об обработке персональных данных в информационных системах Оператора
• Назначение лица, ответственного за организацию обработки персональных данных
• Заключение договоров (соглашений о конфиденциальности и поручении обработки) с третьими лицами, которым передаются персональные данные
• Ознакомление лиц, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и локальных актов Оператора

12.2. Организационные меры

• Ограничение круга лиц, имеющих доступ к персональным данным, выполнением их должностных обязанностей
• Хранение материальных носителей персональных данных в условиях, обеспечивающих их сохранность и исключающих несанкционированный доступ
• Учёт и контроль обращений субъектов персональных данных и реагирование на них в установленные сроки
• Регулярный пересмотр и актуализация Политики и иных локальных актов
• Установление порядка реагирования на инциденты, связанные с нарушением безопасности персональных данных, и их документирование

12.3. Технические меры

• Использование защищённого протокола HTTPS (TLS) при передаче данных между сайтом и пользователем
• Принудительное перенаправление HTTP-трафика на HTTPS
• Контроль доступа к административным разделам информационных систем (Битрикс, Битрикс24) — ограничение по IP-адресам, защита от подбора паролей, журналирование попыток доступа
• Регулярное резервное копирование баз данных и файлов сайта
• Обновление программного обеспечения (CMS, операционная система, серверное ПО) для устранения известных уязвимостей
• Использование актуальных версий PHP и компонентов
• Защита от типовых веб-угроз (SQL-инъекции, межсайтовые скриптовые атаки, открытые редиректоры) на уровне веб-сервера и приложения
• Хранение паролей пользователей Личного кабинета в виде криптографических хешей (без возможности восстановления исходного пароля)
• Разграничение прав доступа в информационных системах

13. Трансграничная передача персональных данных

Оператор не осуществляет трансграничную передачу персональных данных в смысле, определённом ст. 12 Закона 152-ФЗ. Все информационные системы Оператора и системы лиц, осуществляющих обработку по поручению Оператора (раздел 8 Политики), расположены на территории Российской Федерации.

В случае возникновения необходимости в трансграничной передаче персональных данных Оператор направит в Роскомнадзор отдельное уведомление о намерении осуществлять такую передачу до её начала, в порядке, установленном ст. 12 Закона 152-ФЗ, и обновит настоящую Политику.

Информационное примечание для пользователей. При коммуникации с Оператором через сторонние мессенджеры (Telegram, Viber) и социальные сети, серверы которых могут располагаться за пределами Российской Федерации, передача данных через указанные платформы регулируется политиками самих платформ. Пользователю рекомендуется ознакомиться с условиями использования соответствующих сервисов перед их применением для коммуникации с Оператором. Оператор для коммуникации с пользователями приоритетно использует российские каналы связи: телефон, электронную почту, мессенджеры и социальные сети с серверами на территории Российской Федерации (VKontakte, Max).

14. Ответственное лицо. Контакты для запросов по обработке ПДн

Лицо, ответственное за организацию обработки персональных данных у Оператора, — Индивидуальный предприниматель Рукавишников Андрей Борисович.

Контакты для направления запросов по вопросам обработки персональных данных:

• Адрес электронной почты: privacy@sto-tvk.ru
• Почтовый адрес: 625014, г. Тюмень, ул. Тополиная, д. 47
• Телефон: +7-922-480-80-85 (по будням с 09:00 до 18:00, Сб с 10:00 до 16:00 МСК+5)

15. Заключительные положения. Версионирование

Настоящая Политика действует бессрочно до момента её замены новой редакцией.

Оператор вправе вносить изменения в Политику. Актуальная редакция Политики публикуется на сайте по адресу https://sto-tvk.ru в разделе «Политика конфиденциальности» (HTML-версия) и доступна для скачивания в формате PDF. Архив предыдущих редакций Политики хранится Оператором в течение всего срока обработки персональных данных, обработка которых регулировалась соответствующими редакциями.

Существенные изменения, затрагивающие права субъектов персональных данных, вступают в силу не ранее 7 (семи) календарных дней с момента публикации новой редакции Политики на сайте, если только более длительный срок не установлен законодательством Российской Федерации.

В случае противоречий между настоящей Политикой и положениями договоров, заключаемых с субъектами персональных данных, либо иных локальных актов Оператора, применяются положения настоящей Политики.

В случае противоречий между настоящей Политикой и Законом 152-ФЗ либо иными нормативно-правовыми актами Российской Федерации в области защиты персональных данных применяются положения соответствующих нормативно-правовых актов.

История редакций