Политика конфиденциальности

1. Общие положения

Настоящая Политика разработана во исполнение п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности.

Оператором является [ФИО ОПЕРАТОРА ПОЛНОСТЬЮ] — физическое лицо, применяющее режим «Налог на профессиональный доход» (самозанятый), действующее под брендом Grushko Stepan на сайте [ДОМЕН САЙТА].

Политика общедоступна, размещена по адресу [ДОМЕН САЙТА]/privacy без регистрации и авторизации (ч. 2 ст. 18.1 152-ФЗ), действует бессрочно до замены новой редакцией. Дата текущей редакции: [ДАТА РЕДАКЦИИ].

2. Основные понятия

Понятия используются в значениях, определённых статьёй 3 152-ФЗ: персональные данные, оператор, обработка, субъект персональных данных, предоставление, блокирование, уничтожение, обезличивание, трансграничная передача, конфиденциальность.

3. Сведения об операторе

Статус: физическое лицо, плательщик НПД (самозанятый), бренд Grushko Stepan. ФИО: [ФИО ОПЕРАТОРА ПОЛНОСТЬЮ]. ИНН: [ИНН САМОЗАНЯТОГО]. Электронная почта для обращений субъектов: [EMAIL ДЛЯ ОБРАЩЕНИЙ]. Сайт: [ДОМЕН САЙТА].

Поскольку оператор является самозанятым физическим лицом, в качестве идентифицирующих реквизитов используются ФИО и ИНН (ОГРН/ОГРНИП и юридический адрес отсутствуют); основной канал связи — указанный email.

Лицом, ответственным за организацию обработки персональных данных (ст. 22.1 152-ФЗ), является сам оператор. Оператор обязан подать в Роскомнадзор уведомление об обработке ПДн до начала обработки (ст. 22 152-ФЗ); регистрационный номер: [РЕГ. № В РЕЕСТРЕ РКН].

4. Правовые основания

Обработка осуществляется на основании: 152-ФЗ; ГК РФ (розничная и дистанционная продажа); Закона «О защите прав потребителей»; Постановления Правительства РФ № 2463; ФЗ № 422-ФЗ (статус самозанятого).

Юридические основания: согласие субъекта (п. 1 ч. 1 ст. 6, ст. 9 152-ФЗ), оформляемое отдельным действием при заказе; необходимость исполнения договора (п. 5 ч. 1 ст. 6); исполнение обязанностей, возложенных законом; поручение обработки третьим лицам по договору (ч. 3 ст. 6).

Обработка ведётся на принципах законности, ограничения целями и минимизации объёма данных (ст. 5 152-ФЗ).

5. Цели обработки

Оформление и исполнение заказа; идентификация покупателя; связь по заказу (подтверждение, статус, доставка); организация доставки до пункта выдачи СДЭК; приём оплаты через ЮKassa; формирование чека НПД через «Мой налог»; рассмотрение обращений и претензий; исполнение требований законодательства.

Оператор не принимает решений, порождающих юридические последствия, исключительно на основании автоматизированной обработки, и не ведёт рекламных рассылок без отдельного согласия.

6. Категории субъектов

Покупатели и потенциальные покупатели — физические лица (потребители); посетители сайта. Целенаправленный сбор данных несовершеннолетних не ведётся; товары адресованы совершеннолетним покупателям.

7. Перечень обрабатываемых данных

При оформлении заказа обрабатываются: фамилия и имя (единое поле ФИО); номер телефона; адрес электронной почты; город; выбранный пункт выдачи СДЭК (код, название, адрес, город); состав, количество и сумма заказа, его номер и статус.

Оператор обрабатывает минимально необходимый объём данных (ст. 5 152-ФЗ). Специальные категории и биометрические данные НЕ обрабатываются.

Платёжные (банковские) данные при оплате оператор НЕ собирает и не хранит — их обрабатывает платёжный провайдер (ЮKassa) как самостоятельный участник расчётов.

8. Порядок и условия обработки

Обработка ведётся с использованием средств автоматизации и без них (смешанная обработка) и включает сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, блокирование, удаление, уничтожение.

Данные собираются при добровольном предоставлении через формы сайта. Хранение и обработка данных граждан РФ осуществляются в базе данных на сервере на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ, локализация). Первичный сбор через иностранные системы не осуществляется.

Оператор обеспечивает конфиденциальность данных и не раскрывает их третьим лицам без согласия субъекта, кроме случаев, предусмотренных законом и настоящей Политикой (передача обработчикам — раздел 9).

9. Передача данных третьим лицам

Для исполнения заказа оператор привлекает обработчиков. Оператор обеспечивает, чтобы передача оформлялась поручением обработки по договору (ч. 3 ст. 6 152-ФЗ); ответственность перед субъектом за действия обработчиков несёт оператор.

Служба доставки СДЭК — [РЕКВИЗИТЫ ОБРАБОТЧИКА ДОСТАВКИ]. Цель: доставка до пункта выдачи. Передаются: ФИО, телефон, город, пункт выдачи, сведения об отправлении.

Платёжный провайдер ЮKassa — [РЕКВИЗИТЫ ПЛАТЁЖНОГО ПРОВАЙДЕРА]. Цель: приём оплаты. Передаются: ФИО, email, телефон в объёме, необходимом для платежа; банковские реквизиты вводятся на стороне провайдера. При приёме платежа провайдер действует также как самостоятельный оператор в рамках банковского законодательства.

Оператор может предоставлять данные органам власти в случаях, прямо предусмотренных законом. В иных случаях данные третьим лицам без согласия субъекта не передаются.

10. Трансграничная передача

Оператор НЕ осуществляет трансграничную передачу персональных данных — данные граждан РФ обрабатываются и хранятся на сервере на территории РФ.

При решении использовать сервисы с передачей данных за рубеж такая передача будет осуществляться только при соблюдении ст. 12 152-ФЗ, включая предварительное уведомление Роскомнадзора.

11. Сроки хранения

Данные заказа хранятся в течение срока исполнения договора и далее — в пределах сроков, установленных законом (в том числе для учёта НПД и рассмотрения возможных претензий потребителя; ориентировочно срок исковой давности — 3 года).

По достижении целей обработки или при отзыве согласия (при отсутствии иных оснований) оператор прекращает обработку и уничтожает либо обезличивает данные в срок не более 30 дней (ч. 5 ст. 21 152-ФЗ).

12. Файлы cookie и локальное хранилище

Сайт не использует системы веб-аналитики и рекламные cookie. Состояние корзины и черновик оформления заказа сохраняются в локальном хранилище браузера (localStorage) на устройстве пользователя и не передаются оператору автоматически.

Используется служебный cookie, необходимый для входа в административную панель сайта. Пользователь вправе очищать локальное хранилище и cookie средствами браузера.

При подключении в будущем веб-аналитики настоящая Политика будет дополнена, а на сайте появится баннер согласия на аналитические cookie (с активным выбором, без предустановленных галочек).

13. Права субъекта

Субъект вправе: получать информацию об обработке своих данных (ст. 14 152-ФЗ) — подтверждение факта обработки, перечень данных и источник, цели, способы и сроки обработки, сведения о передаче; требовать уточнения, блокирования или уничтожения данных; отозвать согласие в любой момент (ч. 2 ст. 9 152-ФЗ); обжаловать действия оператора в Роскомнадзор или в суд.

Для реализации прав субъект направляет запрос на [EMAIL ДЛЯ ОБРАЩЕНИЙ]. Запрос должен содержать сведения, позволяющие идентифицировать субъекта и подтвердить его участие в отношениях с оператором (номер заказа, ФИО, контактные данные), что защищает данные от запросов посторонних лиц.

Оператор рассматривает запрос и предоставляет ответ в сроки, установленные 152-ФЗ.

14. Меры безопасности

Оператор принимает правовые, организационные и технические меры защиты данных (ст. 18.1, 19 152-ФЗ): назначение ответственного, ограничение доступа, защищённое хранение на сервере в РФ, использование защищённых соединений (HTTPS/TLS), резервное копирование, контроль доступа.

При выявлении инцидента (утечки), повлёкшего нарушение прав субъектов, оператор принимает меры реагирования и уведомляет Роскомнадзор в установленные законом сроки.

15. Обращения субъектов и регулятора

Запросы, обращения, претензии и отзывы согласия принимаются по адресу [EMAIL ДЛЯ ОБРАЩЕНИЙ], регистрируются и рассматриваются в сроки, установленные 152-ФЗ.

При отзыве согласия оператор прекращает обработку и уничтожает (обезличивает) данные в срок не более 30 дней, кроме случаев, когда обработка продолжается на иных законных основаниях. Запросы Роскомнадзора исполняются в установленные законом сроки.

16. Заключительные положения

Оператор вправе изменять Политику при изменении состава обработчиков, целей, способов обработки или законодательства. Актуальная редакция всегда доступна по адресу [ДОМЕН САЙТА]/privacy без регистрации.

Новая редакция вступает в силу с момента размещения на сайте. Дата текущей редакции: [ДАТА РЕДАКЦИИ]. По вопросам обработки данных — [EMAIL ДЛЯ ОБРАЩЕНИЙ].

Согласие на обработку данных (отдельный документ)

С 01.09.2025 согласие на обработку персональных данных нельзя объединять с офертой, договором или настоящей Политикой — оно оформляется отдельным активным действием (чекбоксом без предустановленной галочки) при оформлении заказа.

Рекомендуемая формулировка: «Я даю согласие [ФИО ОПЕРАТОРА] (ИНН [ИНН САМОЗАНЯТОГО]) на обработку моих персональных данных (ФИО, телефон, email, город, пункт выдачи) для оформления, оплаты и доставки заказа, включая передачу обработчикам — СДЭК и ЮKassa — на условиях Политики. Согласие может быть отозвано письмом на [EMAIL ДЛЯ ОБРАЩЕНИЙ]».

На текущем прототипе чекбокс согласия в форме оформления ещё не реализован — это необходимо добавить до запуска продаж.