1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана во исполнение пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — «Закон о персональных данных») и определяет порядок обработки и меры по защите персональных данных у индивидуального предпринимателя Буркова Павла Сергеевича (далее — «Оператор»).
1.2. Цель Политики — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, а также обеспечение прозрачности обработки персональных данных Оператором.
1.3. Политика применяется ко всем персональным данным, которые Оператор получает в связи с осуществлением своей деятельности.
1.4. Политика распространяется на отношения, возникшие как до ее утверждения, так и после, при условии, что они связаны с обработкой персональных данных Оператором.
1.5. При обработке персональных данных Оператор руководствуется Законом о персональных данных, иными нормативными правовыми актами Российской Федерации, Политикой, заключенными гражданско-правовыми договорами, а также предоставленными Оператору согласиями субъектов персональных данных на обработку персональных данных.
1.6. Основные термины (персональные данные, оператор, обработка, автоматизированная обработка, информационная система персональных данных и др.) используются в значениях, установленных Законом о персональных данных.

2. Цели обработки, категории субъектов и персональных данных
2.1. Оператор стремится к обработке наименьшего количества персональных данных, достаточного для достижения цели обработки.
2.2. Оператор не обрабатывает специальные категории персональных данных (сведения о расовой принадлежности, здоровье и т.п.) и биометрические персональные данные, за исключением случаев, прямо предусмотренных законодательством, о чем субъект дополнительно уведомляется, при этом от него запрашивается отдельное согласие.
2.3. Основные категории персональных данных, обработка которых осуществляется Оператором, с указанием объема, используемых персональных данных, и целей обработки:

Персональные данные пользователей операционного справочника модного бренда
Перечень данных:
– индивидуальный номер пользователя в мессенджере (идентификатор);
– уникальное имя пользователя (username, если указан);
– фамилия и имя, указанные в профиле мессенджера;
– контактные данные (адрес электронной почты, иные указанные средства связи);
– информация о совершенных платежах (факт оплаты, сумма, дата и время, способ оплаты, статус, назначение);
– данные платежных инструментов в объеме, необходимом для проведения платежей и рекуррентных списаний (маскированные реквизиты карты, токены платежного сервиса и т.п.);
– технические данные: IP‑адрес, HTTP‑заголовки, идентификатор браузера, сведения об устройстве (тип устройства, операционная система, версия браузера), дата и время доступа к сайту/боту;
– данные об активности в сервисах (факты запросов доступа, переход по ссылке «Войти в справочник», история активации/приостановки подписки, логи действий).

Цели обработки:
– идентификация пользователя как стороны пользовательского соглашения;
– предоставление доступа к справочнику и учет оказанных услуг;
– сопровождение рекуррентных платежей и ведение взаиморасчетов;
– направление сервисных уведомлений (об оплате, окончании подписки, технических работах, обновлениях справочника, о событиях, описанных в пользовательском соглашении, и т.п.);
– рассмотрение обращений пользователей и поддержка;
– обеспечение работоспособности и безопасности онлайн‑сервисов, предотвращение мошенничества и несанкционированного доступа;
– аналитика использования сервиса и улучшение качества предоставляемых услуг в рамках принципа минимизации данных.

Персональные данные клиентов и контрагентов при осуществлении текущей финансово‑хозяйственной деятельности Оператора
Перечень данных:
– идентификационные данные (ФИО, дата рождения, гражданство, реквизиты документа, удостоверяющего личность — для физических лиц и ИП);
– данные о представителях юридических лиц (ФИО, должность, реквизиты доверенности или иных документов);
– контактные данные (адрес проживания/доставки, телефоны, адрес электронной почты, иные средства связи);
– договорные и расчетные данные (сведения о договорах и заказах, об исполнении обязательств, платежные и расчетные реквизиты, участие в программах лояльности, история взаиморасчетов).

Цели обработки:
– заключение, изменение, расторжение и исполнение договоров;
– организация приема платежей, возвратов, предоставление скидок и иных преимуществ;
– ведение бухгалтерского, налогового и управленческого учета;
– обеспечение функционирования и безопасности информационных систем и объектов Оператора;
– улучшение качества обслуживания и анализ взаимодействия с клиентами;
– соблюдение требований законодательства Российской Федерации и защита прав и законных интересов Оператора и (или) клиентов, в том числе при досудебном и судебном урегулировании споров.

Персональные данные пользователей онлайн-сервисов (сайты, боты) Оператора
Перечень данных:
– технические данные (IP‑адрес, данные об устройстве и программном обеспечении, файлы cookie и аналогичные технологии, сведения о сессиях) — в объеме, необходимом для корректного отображения и функционирования сервисов, адаптации интерфейса и обеспечения информационной безопасности;
– данные о действиях пользователя в сервисах (логи запросов, клики, история входов/выходов, параметры и настройки профиля) — в объеме, необходимом для учета действий пользователя, предотвращения злоупотреблений и проведения статистического и аналитического учета.

Цели обработки:
– обеспечение работоспособности, производительности и адаптации интерфейса сервисов под параметры устройства и предпочтения пользователя;
– защита сервисов от несанкционированного доступа, атак, злоупотреблений и иных неправомерных действий;
– ведение статистики и проведение аналитики использования сервисов, включая формирование на основе обобщенных и (или) обезличенных данных аналитических отчетов и показателей, не позволяющих идентифицировать конкретных пользователей.

Сбор статистических данных осуществляется с использованием сервисов “Яндекс.Метрика” и стандартных инструментов аналитики платформы "Тильда".

3. Правовые основания обработки персональных данных
3.1. Оператор обрабатывает персональные данные в случаях предусмотренных законом.
3.2. Правовое основание обработки доводится до сведения субъекта персональных данных до начала обработки (например, в пользовательском соглашении, оферте, форме сбора данных либо отдельном согласии).
3.3. Для обработки персональных данных в целях продвижения товаров, работ, услуг, а также для направления рекламных и информационных сообщений Оператор получает отдельное согласие субъекта персональных данных, оформленное как самостоятельный документ и не объединенное с договором или иной документацией.

4. Сроки обработки (хранения) и уничтожение персональных данных
4.1. Оператор хранит персональные данные в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если больший срок хранения не установлен законодательством Российской Федерации.
4.2. Сроки обработки и хранения:
– данные пользователя операционного справочника и онлайн‑сервисов — на срок действия подписки (договора) и 3 года после ее прекращения для целей защиты интересов Оператора при возможных спорах, если иной срок не установлен законом (например, по налоговым документам);
– бухгалтерские и налоговые документы — в сроки, установленные законодательством Российской Федерации;
– данные, обрабатываемые на основании согласия для маркетинговых целей, — до отзыва согласия либо достижения цели обработки.
4.3. По достижении целей обработки или при наступлении оснований для прекращения обработки персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законом.

5. Передача и трансграничная передача персональных данных
5.1. Оператор может передавать персональные данные третьим лицам в следующих случаях:
– лицам, участвующим в оказании услуг и иной операционной деятельности Оператора (платежные агрегаторы, банковские и кредитные организации, операторы связи, поставщики услуг хостинга, ИТ‑поддержки и безопасности, провайдеры e‑mail‑ и мессенджер‑рассылок, сервисы аналитики), при условии соблюдения требований к защите персональных данных;
– лицам, уполномоченным на основании закона (органы государственной власти и иные органы в пределах их компетенции);
– правопреемникам Оператора в случае отчуждения сервисов Оператора третьим лицам, при условии соблюдения конфиденциальности и требований законодательства о персональных данных;
– иным лицам на основании согласия субъекта персональных данных или по его поручению.
5.2. При привлечении третьих лиц Оператор заключает с ними договоры, предусматривающие обязанность соблюдения конфиденциальности и требований к защите персональных данных.
5.3. При использовании иностранных сервисов (включая мессенджеры и платежные сервисы) возможна трансграничная передача персональных данных.

6. Меры по обеспечению безопасности персональных данных
6.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в соответствии со статьями 18.1 и 19 Закона о персональных данных.
6.2. В числе таких мер:
– назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
– применение организационных мер по ограничению доступа к персональным данным (дифференциация прав доступа, учет носителей);
– использование средств защиты информации (антивирусное ПО, межсетевые экраны, средства шифрования и др.) с учетом класса информационных систем;
– резервное копирование и восстановление данных;
– ведение учета действий пользователей в информационных системах;
– внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства и Политике.

7. Права субъектов персональных данных и порядок их реализации
7.1. Субъект персональных данных имеет права, предусмотренные Законом о персональных данных, включая право:
– получать информацию об обработке своих персональных данных Оператором;
– требовать уточнения своих персональных данных, их блокирования или уничтожения в случаях, предусмотренных законом;
– отзывать представленное Оператору согласие на обработку персональных данных;
– обжаловать действия или бездействие Оператора в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или суде.
7.2. Запрос должен содержать сведения, позволяющие идентифицировать субъекта и (или) его представителя, а также при необходимости — информацию, подтверждающую факт обработки персональных данных Оператором (например, данные договора или аккаунта). Оператор вправе запросить дополнительные сведения для подтверждения личности заявителя, чтобы предотвратить неправомерный доступ к персональным данным.
7.3. Оператор рассматривает запросы субъектов персональных данных и направляет ответы в сроки и в порядке, предусмотренные Законом о персональных данных, как правило, в срок не более 30 календарных дней со дня получения запроса.
7.4. Отзыв ранее выданного согласия на обработку персональных данных осуществляется путем направления соответствующего заявления Оператору по адресу электронной почты: hello@retail-up.ru. Оператор прекращает обработку персональных данных, основанную на согласии, за исключением случаев, когда обработка подлежит продолжению в силу закона или Политики.

8. Обновление и изменение Политики
8.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики всегда доступна по адресу: https://retail-up.ru/data.
8.2. В случае внесения существенных изменений Оператор уведомляет пользователей путем размещения обновленной версии Политики и, при необходимости, дополнительного уведомления (например, через сайт или по электронной почте).

9. Контактные данные Оператора
9.1. Оператор персональных данных: индивидуальный предприниматель Бурков Павел Сергеевич.
9.2. Контактные данные для вопросов и запросов, связанных с обработкой персональных данных:
адрес электронной почты: hello@retail-up.ru