ООО "ДИМИТРОВГРАДСКАЯ МЕБЕЛЬНАЯ ФАБРИКА "АВРОРА" (ИНН: 7302030371, ОГРН: 1057302035340, адрес: 433503 Ульяновская область, г. Димитровград, ул. Калугина д. 48, тел./факс 8 (84235) 2-91-48)

Настоящая Политика определяет порядок обработки персональных данных в ООО "ДИМИТРОВГРАДСКАЯ МЕБЕЛЬНАЯ ФАБРИКА "АВРОРА" (далее — Оператор) в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и иными нормативными актами РФ.

1. Общие положения

1.1. Оператор обрабатывает персональные данные физических лиц (клиентов, сотрудников, контрагентов) в рамках действующего законодательства.

1.2. Цель Политики — обеспечение защиты прав субъектов персональных данных (далее — ПДн).

1.3. Обработка ПДн осуществляется на законных основаниях, включая:

Согласие субъекта (ст. 6, 9 152-ФЗ);
Исполнение договора (ст. 6 152-ФЗ);
Публичные данные (ст. 6 152-ФЗ).

2. Категории обрабатываемых данных

Оператор обрабатывает:

Физические лица (розничные покупатели): ФИО, телефон, email, адрес доставки, данные заказов.

Представители юрлиц (оптовые покупатели): ФИО, должность, рабочие контакты, реквизиты компании.

Сотрудники: данные по трудовым договорам (ст. 86 ТК РФ).

3. Цели обработки

3.1. Для розничных покупателей:

Оформление заказов, доставка, сервисное обслуживание;

Маркетинг (email-рассылки, sms, звонки) только с согласия (ст. 18 Закона "О рекламе").

3.2. Для оптовых клиентов:

Заключение и исполнение договоров;

Взаимодействие с менеджерами.

3.3. Для сотрудников:

Кадровый учет, налогообложение (ст. 86 ТК РФ).

4. Правовые основания обработки ПД.

Оператор осуществляет обработку персональных данных строго в соответствии с законодательством Российской Федерации. Основными правовыми основаниями для обработки являются:

4.1. Обработка на основании согласия субъекта (п. 1 ч. 1 ст. 6, ст. 9 152-ФЗ)

Применяется для:

Маркетинговых коммуникаций (email-рассылки российским сервисом Sendsay, рекламные звонки по телефонии)

Сбора данных через формы обратной связи на сайте Подписки на новости и акции

Обработки данных, не связанных с исполнением договора

Особенности:

Согласие должно быть конкретным, информированным и сознательным

Оформляется в письменной форме или через веб-интерфейс с обязательным подтверждением

Может быть отозвано субъектом в любой момент

4.2. Обработка для исполнения договора (п. 2 ч. 1 ст. 6 152-ФЗ)

Применяется для:

Оформления розничных заказов мебели

Заключения договоров с оптовыми покупателями

Оказания сопутствующих услуг (доставка, сборка, гарантийное обслуживание)

Ведения расчетов и бухгалтерского учета

Особенности:

Не требует отдельного согласия на обработку

Обработка ограничена только данными, необходимыми для исполнения договора

Срок обработки определяется сроком действия договора плюс срок хранения по законодательству

4.3. Обработка данных представителей юридических лиц (ст. 18.1 152-ФЗ)

Применяется для:

Ведения переговоров с контрагентами

Заключения и исполнения договоров поставки

Взаимодействия с представителями компаний-партнеров

Особенности:

Не требует согласия представителя юрлица

Ограничивается только данными, необходимыми для деловой коммуникации

Данные должны быть получены законным путем (визитки, подписанные договоры и т.д.)

4.4. Обработка для выполнения требований законодательства (п. 2 ч. 1 ст. 6 152-ФЗ)

Применяется для:

Кадрового делопроизводства (ст. 86 ТК РФ)

Налоговой отчетности (ст. 23 НК РФ)

Воинского учета (Федеральный закон №53-ФЗ)

Противодействия коррупции (Федеральный закон №273-ФЗ)

Особенности:

Обязательная обработка без возможности отказа

Строгое соблюдение установленных сроков хранения

Ограничение доступа к особо защищаемым категориям данных

4.5. Обработка общедоступных данных (п. 10 ч. 1 ст. 6 152-ФЗ)

Применяется для:

Данных из открытых источников (сайты компаний, публичные реестры)

Информации, добровольно размещенной субъектами в публичном доступе

Особенности:

Должна быть возможность доказать общедоступность данных

Запрещена обработка явно закрытых данных (например, личных переписок)

4.6. Иные законные основания

Включают случаи обработки:

Для защиты жизни и здоровья (п. 3 ч. 1 ст. 6 152-ФЗ)

Для каждого основания обработки Оператором разработаны соответствующие регламенты и процедуры, обеспечивающие соблюдение требований законодательства о персональных данных.

5. Сроки хранения и условия прекращения обработки персональных данных

5.1. Общие принципы определения сроков хранения

Оператор устанавливает сроки хранения персональных данных в соответствии с:

• Федеральным законом №152-ФЗ "О персональных данных"
• Трудовым кодексом РФ (для данных сотрудников)
• Налоговым кодексом РФ
• Гражданским кодексом РФ
• Отраслевыми нормативными актами
• Внутренними регламентами компании

5.2. Сроки хранения по категориям данных

5.2.1. Для розничных покупателей (физических лиц):

Основные персональные данные (ФИО, контакты): 3 года с момента последнего взаимодействия

Данные о заказах и покупках: 5 лет (срок гарантии на мебель + исковая давность)

Финансовые данные (реквизиты карт): не хранятся после завершения транзакции

Согласия на маркетинговые коммуникации: действуют до отзыва, но не более 3 лет с момента последней активности

5.2.2. Для оптовых покупателей (юридических лиц):

Данные представителей: 5 лет после окончания договора

Договорная документация: 5 лет (срок исковой давности по ГК РФ)

Финансовая отчетность: 6 лет (требования НК РФ)

5.2.3. Для сотрудников:

Трудовые договоры и кадровые документы: 75 лет (ст. 22.1 Федерального закона №125-ФЗ)

Персональные карточки: 75 лет

Документы по заработной плате: 6 лет (ст. 29 НК РФ)

Медицинские данные: 5 лет после увольнения

5.2.4. Для соискателей:

Резюме и данные кандидатов: 6 месяцев после окончания конкурса

При отказе в трудоустройстве: 3 года (на случай судебных споров)

5.3. Условия прекращения обработки

Обработка персональных данных прекращается при наступлении следующих условий:

Достижение целей обработки (исполнение договора, завершение проекта)

Истечение установленных сроков хранения

Отзыв согласия субъектом (для данных, обрабатываемых на основании согласия)

Выявление неправомерной обработки

Ликвидация Оператора

5.4. Процедура уничтожения данных

После прекращения обработки данные подлежат:

Уничтожению:

Бумажные носители: шредирование с составлением акта

Электронные носители: гарантированное удаление с невозможностью восстановления

Обезличиванию (для данных, используемых в статистических целях)

Архивированию (для данных с истекшим сроком хранения, но требующих временного сохранения)

Срок уничтожения/обезличивания: не позднее 30 дней с момента прекращения обработки.

5.5. Особые случаи продления сроков

Сроки хранения могут быть продлены в случаях:

Поступления официального запроса от государственных органов

Наличия судебного спора или разбирательства

Необходимости защиты законных интересов компании

5.6. Контроль соблюдения сроков

Для обеспечения соблюдения установленных сроков:

Назначаются ответственные за уничтожение данных

Автоматизированные системы помечают данные с истекающим сроком хранения

5.7. Ответственность за нарушение сроков

Несоблюдение установленных сроков хранения влечет:

Дисциплинарную ответственность для сотрудников

Административную ответственность по ст. 13.11 КоАП РФ

Гражданско-правовую ответственность перед субъектами данных

Данная политика сроков хранения регулярно пересматривается и актуализируется в соответствии с изменениями законодательства РФ.

6. Передача персональных данных третьим лицам

6.1. Общие принципы передачи данных

ООО "Аврора" осуществляет передачу персональных данных третьим лицам только при соблюдении следующих условий:

Наличие законных оснований для передачи (ст. 6, 9 152-ФЗ)

Обеспечение конфиденциальности и безопасности данных

Соблюдение целей обработки, указанных при сборе данных

Ограничение объема передаваемых данных минимально необходимым

6.2. Категории третьих лиц и цели передачи

6.2.1. Обязательная передача (на основании законодательства):

Налоговые органы (ст. 23 НК РФ)

Пенсионный фонд (Федеральный закон №167-ФЗ)

Военкоматы (Федеральный закон №53-ФЗ)

Судебные и правоохранительные органы по официальным запросам

6.2.2. Передача для исполнения договоров:

Курьерские службы (ФИО, телефон, адрес для доставки)

Банковские учреждения (реквизиты для оплаты)

Страховые компании (при оформлении гарантии)

Партнеры по совместным проектам (ограниченный набор данных)

6.2.3. Передача для бизнес-процессов:

IT-подрядчики (хостинг, CRM-системы)

Маркетинговые агентства (только с согласия субъектов)

Call-центры (для обработки обращений)

Юридические и аудиторские службы

6.3. Правовые основания передачи

Для каждой категории получателей устанавливаются отдельные основания:

Для государственных органов - требования законодательства

Для контрагентов - договор оказания услуг/поставки

Для подрядчиков - договор поручения обработки (ст. 6 152-ФЗ)

6.4. Требования к договорам с третьими лицами

Все договоры с третьими лицами, получающими доступ к ПДн, должны содержать:

Четкое описание целей и объема передаваемых данных

Обязательства по соблюдению конфиденциальности

Требования по технической защите данных

Ответственность за нарушения

Условия прекращения обработки после выполнения задач

6.5. Международная передача данных

Оператором трансграничная передача персональных данных не осуществляется.

Хранение и обработка данных на территории РФ

6.6. Права субъектов на информацию о передаче

Каждый субъект ПДн имеет право:

Получить перечень третьих лиц, которым передаются его данные

Узнать цели и правовые основания передачи

Запретить передачу данных (кроме обязательных случаев)

Требовать подтверждения уничтожения данных у третьих лиц

6.7. Ответственность за нарушения

За несанкционированную передачу данных предусмотрено:

Дисциплинарная ответственность сотрудников

Расторжение договоров с подрядчиками

Административная ответственность по ст. 13.11 КоАП РФ

Гражданско-правовая ответственность перед субъектами данных

6.8. Исключительные случаи

В экстренных ситуациях (угроза жизни, требования правоохранительных органов) возможна передача данных без согласия субъекта с обязательным:

Уведомлением субъекта в течение 3 дней

Фиксацией в журнале учета

Последующим контролем правомерности запроса

Данная политика передачи данных регулярно пересматривается и обновляется в соответствии с изменениями законодательства и бизнес-процессов компании.

7. Права субъектов персональных данных

7.1. Полный перечень прав субъектов

Субъекты персональных данных (клиенты, сотрудники, партнеры) в соответствии с главой 3 152-ФЗ имеют следующие права:

Право на доступ к информации (ст. 14 152-ФЗ)

Получать подтверждение факта обработки данных

Запрашивать цели и способы обработки

Получать перечень обрабатываемых данных

Узнать сроки обработки и хранения

Право на уточнение и корректировку (ст. 14 152-ФЗ)

Требовать исправления неточных/неполных данных

Вносить актуальные изменения в профили

Обновлять устаревшую информацию

Право на блокировку и удаление (ст. 14, 21 152-ФЗ)

Требовать блокировки при выявлении нарушений

Подавать запрос на полное удаление данных

Отзывать ранее данное согласие

Право на возражение (ст. 21 152-ФЗ)

Возражать против обработки для маркетинга

Отказываться от автоматизированных решений

Запрещать создание профилей

Право на перенос данных (ст. 10 152-ФЗ)

Получать данные в машиночитаемом формате

Передавать информацию другому оператору

Иметь доступ к структурированному экспорту

Право на отзыв согласия (ст. 9 152-ФЗ)

Отзывать маркетинговые согласия

Прекращать обработку для второстепенных целей

Сохранять обработку только для обязательных задач

7.2. Механизмы реализации прав

7.2.1. Порядок подачи запросов:

Письменное заявление в офисе компании

Электронный запрос через личный кабинет

Официальное письмо на юридический адрес

Email на адрес yurist@mebel-aurora.ru

7.2.2. Требования к запросам:

Указание ФИО и контактных данных

Описание сути требования

Приложение подтверждающих документов

Электронная подпись (для онлайн-запросов)

7.2.3. Сроки рассмотрения:

Стандартные запросы - 30 календарных дней

Срочные запросы - до 15 дней (по договоренности)

Сложные случаи - с уведомлением о продлении

7.3. Ограничения прав

Права субъектов могут быть ограничены в случаях:

Обработки данных для государственной безопасности

Исполнения судебных решений

Противодействия коррупции и терроризму

Научных/статистических исследований (при обезличивании)

7.4. Ответственность оператора

Предоставлять информацию бесплатно

Отвечать на запросы в установленные сроки

Вести журнал обращений субъектов

Обучать сотрудников работе с запросами

Применять меры при выявлении нарушений

7.5. Жалобы и обжалование

Субъекты вправе:

Подавать жалобы в Роскомнадзор

Обращаться в судебные органы

Требовать возмещения ущерба

Инициировать проверки обработчика

7.6. Особые категории данных

Для биометрических и специальных категорий:

Требуется явное отдельное согласие

Устанавливаются дополнительные ограничения

Применяются усиленные меры защиты

Обеспечивается особый контроль доступа

7.7. Информирование субъектов

Компания обеспечивает:

Публикацию Политики на сайте

Четкие инструкции по реализации прав

7.8. Контактная информация

Для реализации прав обращаться:

Email: sale@mebel-aurora.ru

Адрес: 433503 Ульяновская область, г. Димитровград, ул. Калугина д. 48

Все запросы регистрируются и рассматриваются в строгом соответствии с законодательством РФ. Компания гарантирует конфиденциальность при работе с обращениями субъектов.

8. Меры защиты персональных данных

8.1. Организационные меры защиты

Назначение ответственных лиц:

Ответственный за обработку ПДн (назначается приказом)

Сотрудник по информационной безопасности

Внутренний контролер соблюдения 152-ФЗ

Разработка внутренних регламентов:

Положение о защите ПДн

Инструкции по работе с персональными данными

Регламент реагирования на утечки

Контроль доступа:

Разграничение прав доступа по ролям (принцип минимальных привилегий)

Ведение журналов доступа и действий с данными

Регулярный пересмотр прав доступа (не реже 1 раза в квартал)

Работа с персоналом:

Обязательное подписание соглашения о неразглашении

Регулярное обучение (вводное и ежегодное)

Проведение внутренних проверок знаний

8.2. Технические меры защиты

Защита информационных систем:

Сертифицированные СКЗИ (средства криптозащиты)

Межсетевые экраны и системы обнаружения вторжений

Регулярное обновление ПО и патчинг уязвимостей

Защита каналов передачи:

SSL/TLS шифрование для веб-ресурсов

Резервное копирование:

Ежедневное инкрементное копирование

Хранение резервных копий на отдельном защищенном сервере

Регулярные тесты восстановления данных

Защита рабочих станций:

Антивирусная защита

Запрет на использование внешних носителей

8.3. Физическая защита

Охрана помещений:

Системы контроля доступа (турникеты, карты доступа)

Видеонаблюдение в серверных и архивах

Ограничение доступа в зоны обработки ПДн

Уничтожение носителей:

Уничтожители бумаг с 4 уровнем секретности

Демонтаж и физическое уничтожение жестких дисков

Актовая фиксация процесса уничтожения

8.4. Мониторинг и аудит

Системы мониторинга:

Регулярный анализ журналов доступа

Проведение аудитов:

Внутренние проверки 1 раз в полугодие

Внешний аудит каждые 2 года

Тестирование на проникновение (раз в год)

Управление инцидентами:

Регламент реагирования на утечки

Обязательное уведомление Роскомнадзора в течение 72 часов

Ведение реестра инцидентов

8.5. Специальные меры для разных категорий данных

Для сотрудников:

Отдельные защищенные кадровые системы

Дополнительные уровни авторизации

Особый режим доступа к медицинским данным

Для клиентов:

Защита платежных данных

Двухфакторная аутентификация для доступа к ЛК

Регулярный аудит API-интеграций

9. Заключительные положения

9.1. Порядок внесения изменений

Инициация изменений:

По результатам аудитов

При изменении законодательства

По требованию регуляторов

При изменении бизнес-процессов

Процедура утверждения:

Согласование с юридической службой

Визирование ответственным за защиту ПДн

Утверждение генеральным директором

Публикация изменений:

Размещение новой версии на сайте

Уведомление заинтересованных сторон

Архивация предыдущих версий (хранятся 5 лет)

9.2. Вступление в силу

Стандартный порядок:

Через 10 дней после публикации

Для сотрудников - после ознакомления под подпись

Срочные изменения:

При требованиях регуляторов - немедленно

При критических уязвимостях - в течение 24 часов

9.3. Контроль исполнения

Ответственность:

Персональная ответственность руководителей подразделений

Контроль со стороны службы безопасности

Мониторинг:

Ежеквартальные отчеты о соблюдении политики

Включение в план внутренних аудитов

Ответственные за актуализацию:

Юридический отдел - за соответствие законодательству

IT-отдел - за технические аспекты

HR - за работу с персоналом

9.4. Контактная информация

Для вопросов и обращений:

Телефон горячей линии: 8 (800) 550-50-48

Email: sale@mebel-aurora.ru

Почтовый адрес: 433503 Ульяновская область, г. Димитровград, ул. Калугина д. 48

10. Политика использования файлов cookie

10.1. Общие положения

Оператор использует технологию cookie на своем сайте в соответствии с:

Статьей 12.1 Федерального закона №149-ФЗ "Об информации"

Директивой ЕС 2002/58/EC (ePrivacy Directive)

Общими принципами защиты персональных данных

Cookie - это небольшие текстовые файлы, которые:

Сохраняются на устройстве пользователя

Содержат анонимизированные данные

Позволяют улучшить работу сайта

10.2. Типы используемых cookie

10.2.1. Обязательные (технические):

Обеспечивают базовую функциональность сайта

Не требуют согласия пользователя

Примеры: аутентификация, корзина покупок, настройки языка

10.2.2. Аналитические:

Яндекс.Метрика

Собирают обезличенную статистику посещений

Помогают улучшать пользовательский опыт

10.2.3. Маркетинговые:

Трекеры конверсий Яндекс.Метрика

10.2.4. Сторонние сервисы:

Картографические сервисы Яндекс Карты

10.3. Управление cookie

Механизм согласия:

Всплывающее окно при первом посещении

Возможность выборочного согласия

Панель управления cookie в нижней части сайта

Настройки браузера:

Инструкция по отключению cookie

Предупреждение о последствиях отключения

Ссылки на руководства для популярных браузеров

Сроки хранения:

Сессионные: удаляются после закрытия браузера

Постоянные: от 1 дня до 2 лет (в зависимости от типа)

10.4. Собираемые данные

Техническая информация:

Тип устройства и браузера

Разрешение экрана

Версия ОС

Поведенческие данные:

Посещенные страницы

Время на сайте

Целевые действия

Геоданные:

Страна и город (определяемые по IP)

Языковые предпочтения

10.5. Политика хранения и защиты

Обезличивание данных:

IP-адреса анонимизируются

Отсутствие прямой идентификации

Агрегирование статистики

Защита информации:

Шифрование передаваемых данных

Регулярный аудит систем

Ограничение доступа к данным

Передача третьим лицам:

Только обезличенные данные

Заключение договоров поручения обработки

Контроль соблюдения требований

10.6. Права пользователей

Полный отказ:

Возможность отключения всех необязательных cookie

Инструкция по настройке браузера

Выборочное согласие:

Включение/отключение отдельных категорий

Возможность изменения предпочтений

Доступ к информации:

Просмотр списка используемых cookie

Получение информации о целях использования

Запрос данных, связанных с cookie

Примечание: Продолжая использование сайта после ознакомления с данной политикой без изменения настроек cookie, пользователь дает согласие на их использование в соответствии с настоящей политикой.

Политика конфиденциальности ООО "Димитровградская мебельная фабрика "Аврора"

1.  ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение документа

Настоящая политика конфиденциальности (далее по тексту – Политика) ООО «Димитровградская мебельная фабрика "Аврора" (далее по тексту - Общество) разработана на основании ст. 18.1 Федерального закона № 152 «О персональных данных» от 27 июля 2006 г., а также на основании постановления правил дистанционной торговли с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.

Настоящая Политика является общедоступным документом и может быть предоставлена по требованиям субъектов ПДн, направленным в адрес Компании.

Настоящая Политика действует также и в отношении всей информации, которую Интернет-магазин «AURORA HOME», расположенный на доменном имени https://mebel-aurora.ru/ (далее по тексту - Сайт), может получить от Пользователя во время использования сайта Интернет-магазина, программ и приложений Интернет-магазина.

1.2.1. Использование сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации. В случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов.

1.2.2. Использование Сервиса с помощью веб-браузера, который принимает данные из cookies, означает выражение согласия Пользователя с тем, что Общество может собирать и обрабатывать данные из cookies в целях, предусмотренных настоящей Политикой, а также на передачу данных из cookies третьим лицам в случаях, перечисленных в настоящей Политике.

1.2.3. Отключение и/или блокировка Пользователем опции веб-браузера по приему данных из cookies означает запрет на сбор и обработку Обществом данных из cookies в соответствии с условиями настоящей Политики.

1.2.4. По общему правилу Общество не проверяет достоверность предоставляемой Пользователями персональной информации. Вместе с тем в случаях, предусмотренных Политикой, Пользователь обязан предоставить подтверждение.

1.2.5. Общество не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте.

1.3. Политика направлена на доведение до сведения субъектов персональных данных позиции и намерения Общества в области обработки и защиты персональных данных.

1.4. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.