Пользователей сайта https://smartsmoker.ru

1. Основные термины и определения

1.1. Клиент / Субъект персональных данных / Пользователь — физическое лицо, посещающее Сайт и/или использующее его функционал, в том числе заполняющее размещённые на Сайте формы (заявки/заказа/обратной связи), передающее свои персональные данные для получения консультации, оформления заявки на Товары, резервирования Товаров, согласования условий получения Товара и иных действий, связанных с взаимодействием с Оператором.

1.2. Оператор — Индивидуальный предприниматель Моисеев Дмитрий Игоревич ИНН: 772365056345 ОГРНИП: 305770002727855 Адрес места осуществления деятельности (фактический адрес): г. Москва, Университетский проспект, 4 Тел.: +7 (495) 003-98-53 Email: info@smartsmoker.ru

1.3. Услуги — услуги Оператора, оказываемые с использованием Сайта и связанных с ним каналов связи, включая предоставление пользователям доступа к функционалу Сайта, обработку обращений и консультаций, прием и обработку заявок/заказов, информирование о статусе заявки/заказа, а также иные действия, необходимые для исполнения договорных обязательств и/или требований законодательства РФ.

1.4. Партнёры Оператора — третьи лица (юридические лица/индивидуальные предприниматели/иные лица), привлекаемые Оператором для обеспечения функционирования Сайта и/или исполнения обязательств перед Клиентом, включая поставщиков Товаров, провайдеров ИТ‑сервисов (CRM, хостинг и т.п.), а также лиц, оказывающих услуги по организации доставки (при её использовании). Передача персональных данных Партнёрам осуществляется в объёме, необходимом для достижения соответствующих целей обработки.

1.5. Интернет-магазин / Сайт — сайт Оператора по адресу https://smartsmoker.ru (далее — «Сайт»), посредством которого Пользователь может ознакомиться с ассортиментом Товаров, направить Оператору заявку/заказ (в том числе на резервирование), выбрать предпочтительный способ получения и связи, а также получить консультационную поддержку.

1.6. Политика — настоящий документ, определяющий порядок и условия обработки персональных данных Пользователей Сайта, а также меры по обеспечению их конфиденциальности и безопасности.

1.7. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (Субъекту персональных данных).

1.8. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

1.9. Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.

1.10. Конфиденциальность персональных данных — обязательное для соблюдения Оператором и (или) иными лицами, получившими доступ к персональным данным, требование не раскрывать и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством РФ.

1.11. Закон о персональных данных — Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных».

2. Общие положения

2.1. Политика разработана в соответствии с Конституцией Российской Федерации, Законом о персональных данных, Федеральным законом «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 и иными нормативными правовыми актами Российской Федерации в области охраны (защиты) персональных данных в целях реализации требований законодательства Российской Федерации в области обработки персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том на защиту от несанкционированного доступа к персональным данным Клиентов.

2.2. Действие Политики распространяется на все персональные данные Клиентов, обрабатываемые Оператором как автоматизировано, так и без применения средств автоматизации.

2.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора и доступна на каждой из страниц сайта.

2.4. Основные права и обязанности Оператора

2.4.1. Оператор имеет право:

— получать от пользователя достоверные информацию и/или документы, содержащие персональные данные; Оператор не проверяет достоверность персональных данных, предоставляемых Пользователем при использовании Сайта;

— в случае отзыва Пользователем согласия на обработку персональных данных, а также, направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, указанных в Законе о персональных данных;

— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

2.4.2. Оператор обязан:

— предоставлять Пользователю по его просьбе информацию, касающуюся обработки его персональных данных;

— организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;

— отвечать на обращения и запросы Пользователя и его законного представителя в соответствии с требованиями Закона о персональных данных;

— сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;

— публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;

— принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

— исполнять иные обязанности, предусмотренные Законом о персональных данных.

2.5. Основные права и обязанности субъектов персональных данных.

2.5.1. Пользователь имеет право:

— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются Пользователю Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

— требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

— на отзыв согласия на обработку персональных данных, а также, на направление требования о прекращении обработки персональных данных;

— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

— на осуществление иных прав, предусмотренных законодательством РФ.

2.5.2. Пользователь обязан:

— предоставлять Оператору достоверные данные о себе;

— сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

2.5.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

2.5.4. Использование Сайта, заполнение регистрационных форм, содержащих персональные данные, и проставление отметки «чек-бокса» и последующее нажатия кнопки подтверждения (например, “Отправить”, “Зарегистрироваться”) в форме означает согласие Пользователя с условиями документов, определяющих пользование сайтом, в том числе в части обработки персональных данных. В случае несогласия с этими условиями Пользователь должен воздержаться от использования функционала сервиса, не заполнять формы, не нажимать активные кнопки.

3. Цели и правовые основания обработки персональных данных

3.1. Обработка персональных данных осуществляется в соответствии с принципом целевого ограничения: персональные данные обрабатываются только для достижения конкретных, заранее определённых и законных целей. Обработка персональных данных, несовместимая с целями их сбора, не допускается.

3.2. Оператор обрабатывает персональные данные Клиентов в следующих целях:

3.2.1. Оформление и обработка заявок (заказов) на Товары, резервирование Товаров и коммуникация по заявке. Включает обработку обращений, подтверждение/уточнение заявки, информирование о статусе, согласование условий получения (самовывоз/доставка — при наличии), а также иные действия, необходимые для подготовки, заключения и исполнения договора розничной купли‑продажи.

3.2.2. Исполнение программ лояльности (бонусов) и предоставление персональных предложений. Включает идентификацию Клиента, ведение учёта покупок/операций в рамках программы лояльности, начисление/списание бонусов (баллов), предоставление скидок и иных преимуществ, формирование персонализированных предложений в рамках правил программы.

3.2.3. Маркетинговые коммуникации. При наличии предварительного согласия Клиента Оператор вправе направлять новости, информацию об акциях, специальных предложениях и иных мероприятиях/событиях, а также проводить иные маркетинговые коммуникации с использованием указанных Клиентом каналов связи. Клиент вправе в любое время отозвать согласие/отказаться от рассылок.

3.2.4. Консультационная, клиентская и техническая поддержка. Обработка персональных данных осуществляется при обращении Клиента к сотрудникам Оператора для предоставления консультаций по ассортименту и выбору Товаров, а также для решения вопросов, связанных с использованием Сайта и обслуживанием Клиента (включая обработку претензий/обращений).

3.2.5. Веб‑аналитика и улучшение качества работы Сайта (Яндекс.Метрика).

Оператор осуществляет сбор и анализ статистической и технической информации о посещении и использовании Сайта (включая сведения о действиях Пользователя на Сайте, параметры устройства и браузера, идентификаторы cookie и иные онлайн‑идентификаторы) с целью: обеспечения работоспособности и безопасности Сайта, улучшения пользовательского опыта, выявления ошибок и оптимизации интерфейса/контента, оценки эффективности страниц и пользовательских сценариев. Для указанных целей Оператор использует сервис Яндекс.Метрика.

3.3. Правовыми основаниями обработки персональных данных являются:

3.3.1. Необходимость обработки персональных данных для выполнения обязанностей Оператора, установленных законодательством Российской Федерации, в том числе Гражданским кодексом РФ и Законом РФ от 07.02.1992 № 2300‑1 «О защите прав потребителей».

3.3.2. Необходимость обработки персональных данных для заключения и исполнения договоров, стороной которых является Клиент (включая Пользовательское соглашение/условия использования Сайта, правила программы лояльности — при наличии, а также договоры розничной купли‑продажи и иные соглашения между Клиентом и Оператором).

3.3.3. Согласие Клиента на обработку персональных данных — в случаях, когда такое согласие требуется в соответствии с законодательством Российской Федерации (в частности, для маркетинговых рассылок и иных целей, для которых закон предусматривает согласие).

3.3.4. Законный интерес Оператора (ст. 6 ч. 1 п. 7 № 152‑ФЗ) — в части обработки технических и статистических данных для обеспечения работоспособности, безопасности и улучшения Сайта, включая использование сервисов веб‑аналитики (Яндекс.Метрика), при условии соблюдения прав и законных интересов Пользователей.

В случаях, когда по применимым требованиям и настройкам Сайта требуется получение согласия на использование файлов cookie/идентификаторов (в т.ч. для аналитики), обработка осуществляется на основании согласия, выраженного Пользователем через баннер/настройки cookie.

4. Состав и объём обрабатываемых персональных данных, способы обработки, правовые основания и сроки хранения

4.1. Общие положения.

Оператор обрабатывает персональные данные Клиентов в объёме, необходимом для достижения целей, указанных в разделе 3 Политики. Обработка осуществляется с соблюдением принципов законности, справедливости, минимизации и целевого ограничения. Обработка может осуществляться как с использованием средств автоматизации, так и без их использования (смешанная обработка).

4.2. Обработка персональных данных для цели 3.2.1 (оформление и обработка заявок/заказов, резервирование, коммуникация по заявке/заказу).

4.2.1. Категории персональных данных:

— фамилия, имя (при наличии);

— номер телефона;

— адрес электронной почты;

— адрес получения (при необходимости организации доставки/уточнения условий получения);

— комментарий к заявке/заказу (Клиент указывает по своему усмотрению; может содержать дополнительные сведения);

— сведения о заявке/заказе (состав, количество, стоимость, статусы, история операций по заявке/заказу);

— сведения о коммуникациях по заявке/заказу (содержание обращений, переписки);

— сведения, необходимые для расчёта и организации доставки (при выборе доставки): адрес получения, выбранный способ доставки, стоимость доставки, желаемые параметры доставки (при наличии). При этом доставка осуществляется только в отношении товаров, разрешённых к реализации дистанционным способом.

4.2.2. Способы (операции) обработки: сбор (через формы Сайта, онлайн-чат, по телефону, через электронную почту и/или мессенджеры), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование для связи и обработки заявки/заказа, передача (предоставление/доступ) уполномоченным лицам и Партнёрам Оператора в объёме, необходимом для исполнения заявки/заказа, блокирование, удаление, уничтожение.

4.2.3. Правовое основание:

— ст. 6 ч. 1 п. 5 Федерального закона № 152‑ФЗ (обработка необходима для заключения и исполнения договора/совершения действий по обращению Клиента);

— при необходимости в отдельных случаях — ст. 6 ч. 1 п. 2 № 152‑ФЗ (выполнение обязанностей, предусмотренных законодательством РФ).

4.2.4. Срок хранения:

— данные по выполненным заявкам/заказам и сведения, относящиеся к исполнению обязательств и учёту операций, хранятся в течение сроков, установленных законодательством РФ для бухгалтерского/налогового учёта и защиты прав сторон (как правило, не менее 5 лет), либо дольше — при наличии незавершённых претензий/споров;

— обращения/заявки, не завершившиеся заказом, а также переписка по консультациям по заявке — до 3 лет с даты последнего взаимодействия, если более длительный срок не требуется для защиты прав и законных интересов Оператора.

4.3. Обработка персональных данных для цели 3.2.2 (программа лояльности/бонусы и персональные предложения в рамках лояльности).

4.3.1. Категории персональных данных:

— фамилия, имя (при наличии);

— номер телефона;

— адрес электронной почты (при наличии);

— дата рождения (используется правилами программы для начисления/предоставления бонусов и предложений, например ко дню рождения);

— сведения о покупках/ операциях в рамках программы лояльности (начисления/списания бонусов, уровень/статус участника, история операций);

— при использовании мессенджер-ботов/идентификации — идентификаторы в соответствующем сервисе (например, Telegram ID/username и иные технические идентификаторы, необходимые для работы бота и идентификации участника).

4.3.2. Способы (операции) обработки: сбор, запись, накопление, хранение, обновление, использование для идентификации участника, расчёта и учёта бонусов/скидок, формирования персональных предложений в рамках правил программы, передача в CRM/сервис программы лояльности (при использовании), блокирование, удаление, уничтожение.

4.3.3. Правовое основание:

— ст. 6 ч. 1 п. 5 № 152‑ФЗ (обработка необходима для исполнения договорных отношений/правил программы лояльности);

— в случаях, когда для отдельных действий требуется согласие (например, отдельные рекламные рассылки через бота) — ст. 6 ч. 1 п. 1 № 152‑ФЗ.

4.3.4. Срок хранения:

— на период участия Клиента в программе лояльности и до 3 лет после прекращения участия (для закрытия расчётов, урегулирования спорных ситуаций, возвратов и подтверждения операций), если более длительный срок не требуется по закону или для защиты прав и законных интересов Оператора.

4.4. Обработка персональных данных для цели 3.2.3 (маркетинговые коммуникации).

4.4.1. Категории персональных данных:

— фамилия, имя (при наличии);

— номер телефона и/или адрес электронной почты;

— сведения о предпочтениях/сегментах, сформированные на основе истории обращений/покупок;

— сведения об отказе от рассылки/отзыве согласия (для фиксации запрета на дальнейшие сообщения).

4.4.2. Способы (операции) обработки: сбор, хранение, сегментация, использование для направления информационных/рекламных сообщений по выбранным каналам связи, учёт отказов от рассылки, удаление/уничтожение.

4.4.3. Правовое основание:

— ст. 6 ч. 1 п. 1 № 152‑ФЗ (согласие субъекта персональных данных);

— соблюдение требований законодательства о рекламе (в части направления рекламных сообщений).

4.4.4. Срок хранения:

— до отзыва согласия/отказа от рассылки либо до прекращения соответствующей маркетинговой активности;

— сведения о факте отказа (контакт + отметка об отказе) могут храниться до 3 лет для подтверждения соблюдения отказа и исключения повторных рассылок.

4.5. Обработка персональных данных для цели 3.2.4 (консультации, клиентская и техническая поддержка).

4.5.1. Категории персональных данных:

— фамилия, имя (при наличии);

— номер телефона;

— адрес электронной почты;

— содержание обращений/переписки;

— файлы и материалы, которые Клиент направляет в обращении (при наличии);

— технические данные, связанные с обращением через Сайт (IP‑адрес, cookies/идентификаторы, сведения о браузере/устройстве, дата и время обращения, логи).

4.5.2. Способы (операции) обработки: сбор, запись, хранение, использование для ответа и решения вопроса, передача в сервисы поддержки/CRM , блокирование, удаление, уничтожение.

4.5.3. Правовое основание:

— ст. 6 ч. 1 п. 5 № 152‑ФЗ (обработка необходима для совершения действий по обращению Клиента и/или исполнения договорных обязательств).

4.5.4. Срок хранения:

— до 3 лет с даты закрытия обращения, если более длительный срок не требуется по закону или для защиты прав и законных интересов Оператора.

4.6. Технические данные и файлы cookie.

4.6.1. При использовании Сайта Оператор может обрабатывать технические данные, включая: IP‑адрес, сведения о браузере и типе устройства/операционной системы, идентификаторы cookie/сессии, сведения о посещённых страницах и действиях на Сайте, дату и время доступа, источник перехода на сайт.

4.6.2. Правовое основание и сроки хранения технических данных определяются целями их использования (обеспечение работоспособности и безопасности Сайта, улучшение пользовательского опыта, аналитика) и настройками используемых технологий; в любом случае такие данные хранятся не дольше, чем это необходимо для заявленных целей, после чего подлежат удалению.

4.6.3. Веб‑аналитика (Яндекс.Метрика).

Для сбора статистики и анализа использования Сайта Оператор использует сервис Яндекс.Метрика. В рамках работы Яндекс.Метрики могут обрабатываться технические данные и онлайн‑идентификаторы (в т.ч. cookie/идентификаторы, IP‑адрес, параметры устройства и браузера, сведения о посещённых страницах и действиях на Сайте, дата/время доступа, источник перехода).

Обработка таких данных осуществляется в целях, указанных в п. 3.2.5 Политики, и в пределах сроков хранения, определяемых настройками счетчика Яндекс.Метрики и/или выбранными настройками cookie на Сайте.

4.7. Оплата.

Оператор не осуществляет приём оплаты на Сайте и не использует на Сайте платёжные сервисы/эквайринг, поскольку Сайт является интернет‑витриной. Заключение договора розничной купли‑продажи осуществляется на территории розничного магазина Оператора.

5. Принципы и условия обработки персональных данных

5.1. Законность, справедливость и целевое ограничение.

Оператор осуществляет обработку персональных данных на законной и справедливой основе и исключительно для целей, указанных в разделе 3 Политики. Обработка персональных данных, несовместимая с целями их сбора, не допускается.

5.2. Минимизация и достаточность.

Оператор обрабатывает только те персональные данные, которые необходимы для достижения заявленных целей обработки. Дополнительные сведения (в том числе в комментариях к заявке/заказу) предоставляются Клиентом по его усмотрению.

5.3. Условия обработки и правовые основания.

Обработка персональных данных осуществляется при наличии одного или нескольких правовых оснований, указанных в разделе 3.3 Политики, в том числе:

5.3.1. обработка необходима для совершения действий по обращению Клиента и (или) для заключения и исполнения договоров, стороной которых является Клиент;

5.3.2. обработка необходима для выполнения обязанностей, возложенных на Оператора законодательством Российской Федерации;

5.3.3. обработка осуществляется на основании согласия Клиента — в случаях, когда такое согласие требуется в соответствии с законодательством РФ.

5.4. Получение согласий.

В случаях, когда для обработки персональных данных требуется согласие, Клиент выражает его путём совершения однозначных действий, в том числе проставления отметки («чекбокса») в соответствующем поле на Сайте, либо иным способом, позволяющим подтвердить факт получения согласия. Клиент вправе отозвать согласие в порядке, предусмотренном Политикой и законодательством РФ.

5.5. Сервисные (транзакционные) уведомления без отдельного согласия.

Оператор вправе направлять Клиенту сервисные (транзакционные) сообщения, необходимые для совершения действий по обращению Клиента и (или) заключения и исполнения договора, без получения отдельного согласия на такие сообщения. К сервисным сообщениям относятся, в частности: подтверждение получения заявки/заказа, уточнение состава и статуса заявки/заказа, согласование условий получения (самовывоз/доставка — при наличии), уведомления о готовности заказа, сообщения по вопросам возврата/обмена и претензионной работы, а также иные уведомления, непосредственно связанные с обслуживанием Клиента.

Правовым основанием является необходимость заключения и исполнения договора (ст. 6 ч. 1 п. 5 Федерального закона № 152‑ФЗ).

5.6. Маркетинговые (рекламные) сообщения и отказ от рассылок.

Направление маркетинговых (рекламных) сообщений (новости, акции, специальные предложения и т.п.) осуществляется только при наличии предварительного согласия Клиента в случаях, когда такое согласие требуется. Клиент вправе в любое время отказаться от таких сообщений и (или) отозвать согласие, направив обращение на email: info@smartsmoker.ru, а также иным способом, указанным в соответствующем сообщении (если применимо). После получения отказа Оператор прекращает направление маркетинговых сообщений по соответствующему каналу.

5.7. Конфиденциальность и меры защиты.

Оператор обеспечивает конфиденциальность персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий.

5.8. Доступ к персональным данным.

Доступ к персональным данным предоставляется только уполномоченным лицам Оператора (работникам и/или привлечённым исполнителям), которым такие данные необходимы для выполнения их функций, при условии соблюдения ими конфиденциальности и принципа минимально необходимого доступа.

5.9. Поручение обработки и передача персональных данных третьим лицам (Партнёрам)

Оператор вправе поручать обработку персональных данных и/или предоставлять доступ к персональным данным третьим лицам (далее — Партнёры) исключительно в объёме, необходимом для достижения целей обработки, указанных в разделе 3 Политики, а также для обеспечения функционирования Сайта, обработки обращений и заявок/заказов, исполнения программы лояльности и направления сервисных уведомлений.

Передача (предоставление доступа) осуществляется при соблюдении принципов законности, минимизации и конфиденциальности. В необходимых случаях Оператор принимает меры для правового оформления поручения обработки (в том числе через договоры/оферты/условия сервисов) и устанавливает требования к обеспечению конфиденциальности и безопасности персональных данных.

5.9.1. CRM и онлайн‑чат (обработка обращений и заявок/заказов, коммуникации)

Для обеспечения связи с Клиентами, обработки обращений и заявок/заказов, а также работы онлайн‑чата на Сайте используется сервис RetailCRM:

ООО «РитейлДрайвер», ОГРН 5147746272339, ИНН 7724941710, адрес: 115230, г. Москва, Хлебозаводский пр., д. 7, стр. 9, оф. 501‑1.

В рамках использования RetailCRM могут обрабатываться персональные данные Клиентов, необходимые для поддержки, коммуникации и обработки заявок/заказов (например: ФИО, телефон, адрес электронной почты, сведения о заказе/заявке и история взаимодействий).

5.9.2. Домен, хостинг и техническая инфраструктура Сайта

Для регистрации доменного имени, DNS‑обслуживания и/или размещения (хостинга) Сайта Оператор использует сервисы REG.RU (ООО «Регистратор доменных имен РЕГ.РУ», https://reg.ru).

В рамках оказания услуг REG.RU (и/или привлекаемые им лица в пределах предоставления услуги) может иметь технический доступ к инфраструктуре Сайта и данным, размещённым в ней (включая файлы сайта, базы данных, резервные копии и журналы событий (логи)) — в объёме, необходимом для обеспечения доступности, администрирования, резервного копирования, устранения сбоев и инцидентов.

5.9.3. Технические подрядчики по разработке и сопровождению Сайта

Оператор может привлекать подрядчиков для разработки и технического сопровождения Сайта. В рамках выполнения работ таким подрядчикам может предоставляться ограниченный доступ к персональным данным (например, к административной панели, настройкам, логам, базе данных) исключительно для целей сопровождения, диагностики и обеспечения работоспособности Сайта, при условии соблюдения подрядчиками конфиденциальности и требований безопасности.

5.9.4. Сервис программы лояльности и автоматизации через ботов.

Оператор может использовать сервис SamoSale:

ООО «САМОСЭЙЛ», ИНН 6319245888, ОГРН 1206300018979, адрес: 443099, Самарская область, г.о. Самара, вн.р-н Самарский, г. Самара, ул. Водников, д. 60, офис 904А, email: fsv@samosale.ru.

В рамках работы программы лояльности и/или функциональности ботов могут обрабатываться данные, необходимые для идентификации участника и учёта бонусов/скидок (например: номер телефона, имя, дата рождения, идентификаторы мессенджера, история начислений/списаний и операций — при наличии и необходимости).

5.9.5. Почтовые сервисы (обработка обращений)

Для обработки обращений Клиентов, поступающих по электронной почте, Оператор может использовать почтовые сервисы (в том числе Яндекс.Почта / Яндекс 360 — в зависимости от подключенного тарифа/провайдера доменной почты). При направлении обращения по электронной почте обработка персональных данных также осуществляется соответствующим почтовым провайдером в соответствии с его правилами и условиями.

5.9.6. Мессенджеры и социальные платформы как каналы связи

По выбору Клиента и/или при согласовании канала связи Оператор может осуществлять коммуникации через мессенджеры и социальные платформы, включая Telegram, WhatsApp, ВКонтакте, MAX (при использовании), в том числе для направления сервисных уведомлений о статусах заявок/заказов и для консультаций.

Указанные сервисы обрабатывают данные пользователей в соответствии с собственными политиками и условиями использования и, как правило, выступают самостоятельными операторами персональных данных. Оператор не несёт ответственность за порядок обработки персональных данных указанными сервисами вне пределов своей зоны контроля.

5.9.7. Доставка (только для Разрешённых товаров)

Если Клиент при оформлении заявки/заказа на Сайте выбирает доставку и указывает адрес получения, Оператор обрабатывает соответствующие данные для расчёта стоимости доставки, согласования условий доставки и (при необходимости) передаёт персональные данные исполнителям доставки в объёме, необходимом для доставки Разрешённых товаров (например: ФИО, телефон, адрес и параметры доставки).

Оператор может привлекать, в частности, СДЭК, Достависта, а также иных исполнителей доставки.

На Сайте может быть реализован автоматизированный функционал предварительного расчёта и выбора вариантов доставки в корзине; такой расчёт используется для удобства Клиента и последующей организации доставки при подтверждении заказа.

Доставка осуществляется только в отношении товаров, разрешённых к реализации дистанционным способом (например, аксессуары, хьюмидоры, курительные трубки, чай). Дистанционная продажа табачной продукции не осуществляется.

5.9.8. Антиспам‑защита (Yandex SmartCaptcha)

В целях обеспечения безопасности Сайта, верификации запросов и блокировки автоматизированных запросов (роботов) используется сервис Yandex SmartCaptcha. Для функционирования сервиса Оператор поручает ООО «Яндекс.Облако» осуществлять сбор и обработку технических данных об устройстве Пользователя, его активности и цифровом отпечатке, включая (но не ограничиваясь): token, browser features, referer, timezone и иные технические параметры, формируемые при использовании Сайта или его отдельных страниц, на которых установлен виджет сервиса.

ООО «Яндекс.Облако» использует указанные данные для целей функционирования и поддержания сервиса в рамках инструкций Оператора, а также для улучшения сервиса на основании законного интереса. При этом ООО «Яндекс.Облако» не обладает возможностями достоверно идентифицировать Пользователя.

Срок хранения технических данных в рамках сервиса: 60 (шестьдесят) дней с даты их сбора, после чего данные подлежат удалению.

ООО «Яндекс.Облако» хранит данные на серверах, расположенных на территории Российской Федерации. Подробнее: https://yandex.ru/legal/confidential/.

5.9.9. Веб‑аналитика (Яндекс.Метрика).

Для целей веб‑аналитики и улучшения качества работы Сайта Оператор использует сервис Яндекс.Метрика. Обработка технических данных может осуществляться ООО «Яндекс» и/или иными компаниями группы Яндекс в соответствии с условиями и политиками Яндекса. Подробнее о конфиденциальности: https://yandex.ru/legal/confidential/.

5.10. Ограничения раскрытия.

Оператор не раскрывает персональные данные третьим лицам без законных оснований, за исключением случаев, предусмотренных законодательством РФ, либо когда передача необходима для достижения целей обработки и исполнения обязательств перед Клиентом.

5.11. Место хранения и локализация.

Оператор принимает меры к тому, чтобы персональные данные, обрабатываемые в рамках Сайта и используемых Оператором ИТ‑сервисов, хранились и обрабатывались на территории Российской Федерации в соответствии с требованиями законодательства РФ, если иное не обусловлено выбором Клиентом конкретного канала связи/сервиса (например, мессенджера), обработка в котором осуществляется соответствующим сервисом на его стороне.

5.12. Прекращение обработки.

Обработка персональных данных прекращается по достижении целей обработки, при утрате необходимости в их достижении, при отзыве согласия (если обработка основана на согласии и отсутствуют иные правовые основания), а также в иных случаях, предусмотренных законодательством РФ. Порядок и сроки хранения определены разделом 4 Политики.

5.13. Порядок реализации прав субъекта персональных данных.

Запросы, обращения и требования, связанные с обработкой персональных данных (в том числе об уточнении, блокировании, удалении, прекращении обработки, отзыве согласия), направляются Оператору по адресу электронной почты: info@smartsmoker.ru. Оператор вправе запросить сведения, необходимые для идентификации заявителя и подтверждения принадлежности персональных данных соответствующему субъекту персональных данных.

6. Файлы cookie

6.1. Cookie – текстовой файл небольшого размера, который направляется веб-сервером и сохраняется на компьютере, мобильном телефоне или любом другом устройстве, имеющем доступ в сеть Интернет, при посещении веб-сайта.

6.2. Каждый раз при открытии страницы веб-сайта Ваш веб-клиент (веб-браузер) пересылает указанный текстовый файл веб-серверу в составе HTTP-запроса, чтобы предоставить такому веб-серверу информацию о Ваших действиях или предпочтениях в Интернете. При этом для обеспечения безопасности и сохранности Ваших данных Ваш веб-клиент (веб-браузер), как правило, не передает cookie, предназначенные для одного веб-сайта, другим ресурсам.

6.3. Вы можете как удалять уже сохраненные cookie по своему желанию, так и ограничить (запретить) их сбор, задав соответствующие настройки в Вашем веб-клиенте (веб-браузере).

Обращаем Ваше внимание, что в указанном случае мы не сможем гарантировать работоспособность Сайта и доступность его функционала в полном объеме.

Использование файлов cookie

Наш Сайт использует cookies, в частности для сбора сведений и контроля взаимодействия пользователей с Сайтом. Мы регистрируем благодаря таким файлам ваши предпочтения и ваши настройки.

Совокупная собранная информация позволяет нам анализировать модели трафика на нашем Сайте и повышать удобство навигации для посетителей сайта. Например, мы можем использовать файлы cookie для:

- сохранения имени пользователя и пароля, при заполнении форм, для определения географического положения Пользователя для будущих посещений с целью упростить и ускорить вход в систему;

- сохранения предпочтений Пользователя;

- время посещения сайта;

- источник перехода на сайт;

- информация о Пользователе;

- страница захода на сайт и страница выхода с него;

- аутентификация пользователя (индивидуальные настройки: масштаб страницы).

- личные данные: номер телефона, адрес электронной почты, платёжные данные.

- устройство, с которого был осуществлен вход на сайт (десктоп, Андроид или Iphone).

- время сессии на сайте.

- браузер, с которого был осуществлен вход.

- переходы и клики на сайте (количество и на какие конкретно кнопки и по каким ссылкам пользователь переходил).

Сбор статистики происходит, в том числе, с использованием Яндекс.Метрика. Подробнее о целях и принципах обработки обезличенных данных Яндекс.Метрика можно узнать по адресу https://yandex.ru/legal/confidential/.

Cookies используются для упрощения клиентского опыта пользования сайтом и для сбора аналитики Оператором для улучшения качества предоставляемых услуг на сайте.

На Сайте реализована функция предупреждения посетителей сайта о сборе, анализе и использовании cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений. На сайте будет всплывать окно с предложением согласиться или отказаться от сбора cookie-файлов. При желании Посетитель Сайта может отказаться от сбора этих данных.

7. Меры по защите персональных данных

7.1. Общий подход и нормативная база. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Меры защиты реализуются с учётом: характера и объёма обрабатываемых персональных данных, целей обработки, актуальных угроз безопасности и требований законодательства Российской Федерации, в том числе Федерального закона № 152‑ФЗ «О персональных данных», а также подзаконных актов, устанавливающих требования к защите персональных данных при их обработке.

7.2. Организационные меры защиты.

В целях обеспечения безопасности персональных данных Оператор, в том числе:

7.2.1. Назначает ответственное лицо за организацию обработки и обеспечение безопасности персональных данных. Ответственное лицо: Индивидуальный предприниматель Моисеев Дмитрий Игоревич.

7.2.2. Утверждает и поддерживает в актуальном состоянии локальные нормативные акты и организационно‑распорядительные документы, регулирующие обработку и защиту персональных данных (включая настоящую Политику, порядок рассмотрения обращений субъектов, порядок доступа к персональным данным, правила хранения и уничтожения персональных данных).

7.2.3. Определяет перечень лиц, допущенных к обработке персональных данных, и обеспечивает обработку персональных данных такими лицами.

7.2.4. Организует контроль доступа к персональным данным и информационным ресурсам (разграничение прав в CRM/административных панелях/почтовых сервисах и т.п.), включая периодический пересмотр прав доступа и оперативное прекращение доступа при утрате необходимости.

7.2.5. Обеспечивает соблюдение конфиденциальности персональных данных работниками и привлечёнными исполнителями (подрядчиками), в том числе посредством закрепления обязательств о конфиденциальности в договорах/соглашениях и установления ответственности за нарушения.

7.2.6. Регламентирует взаимодействие с подрядчиками и поставщиками сервисов (хостинг, CRM, сервисы коммуникаций и т.п.): определяет объём передаваемых данных, цели передачи, допустимые действия с персональными данными и требования к обеспечению безопасности и конфиденциальности.

7.2.7. Организует приём и обработку обращений субъектов персональных данных, а также контроль сроков и полноты исполнения запросов (уточнение, блокирование, удаление, предоставление информации и др.) в порядке, установленном законодательством РФ.

7.2.8. Обеспечивает хранение носителей (при наличии бумажных документов/выгрузок) и устройств доступа к сервисам таким образом, чтобы исключить доступ неуполномоченных лиц (организационные меры хранения, ограничение доступа, контроль выдачи/возврата и т.п.).

7.3. Технические меры защиты (в пределах зоны ответственности Оператора).

Оператор применяет комплекс технических мер, направленных на обеспечение конфиденциальности, целостности и доступности персональных данных, включая (по мере применимости): 7.3.1. использование защищённых протоколов и каналов передачи данных при работе Сайта и сервисов (в т.ч. HTTPS/TLS);

7.3.2. использование средств идентификации и аутентификации для доступа к административным панелям/CRM/почте и иным сервисам, в том числе применение сложных паролей, регулярная смена паролей по мере необходимости; по возможности — двухфакторная аутентификация;

7.3.3. разграничение прав доступа в информационных системах (разные роли и уровни доступа), ограничение доступа к персональным данным кругом лиц, которым он необходим;

7.3.4. журналирование действий и событий в пределах возможностей используемых систем (CRM, хостинг, административные панели) для выявления и расследования инцидентов; 7.3.5. обновление программного обеспечения и компонентов Сайта/серверного окружения (в пределах ответственности Оператора и/или подрядчиков), применение мер по устранению уязвимостей;

7.3.6. применение средств защиты конечных устройств, с которых осуществляется доступ к персональным данным (например, антивирусная защита, блокировка экрана, пароль/код доступа, ограничение доступа третьих лиц);

7.3.7. резервное копирование и восстановление данных в объёме и на условиях, предусмотренных используемыми сервисами/провайдерами, а также принятие мер для обеспечения доступности данных при сбоях;

7.3.8. использование иных мер защиты, которые Оператор считает необходимыми с учётом актуальных угроз и особенностей обработки.

7.4. Меры физической защиты.

Оператор принимает меры, направленные на предотвращение несанкционированного физического доступа к персональным данным и носителям, включая:

— хранение документов и устройств с доступом к персональным данным в местах, исключающих доступ посторонних лиц;

— организацию доступа в помещения, где осуществляется обработка персональных данных, только для уполномоченных лиц;

— иные меры физической защиты в зависимости от конкретных условий обработки.

7.5. Локализация хранения и безопасность при использовании сервисов.

Оператор принимает меры к соблюдению требований законодательства РФ о локализации персональных данных при использовании хостинга, CRM и иных сервисов, задействованных в обработке персональных данных в рамках Сайта (в пределах условий соответствующих договоров/оферт и настроек сервисов). При взаимодействии с Клиентом через внешние платформы (например, мессенджеры) обработка данных такими платформами осуществляется на условиях их пользовательских соглашений и политик.

7.6. Реагирование на инциденты и уведомления.

7.6.1. При выявлении (или наличии признаков) инцидента безопасности персональных данных (в том числе несанкционированного доступа, утраты, раскрытия, изменения) Оператор принимает меры по его локализации, ограничению последствий, восстановлению работоспособности систем и предотвращению повторных инцидентов.

7.6.2. Оператор организует внутреннюю проверку обстоятельств инцидента и, при наличии оснований, исполняет обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) в сроки и порядке, установленные законодательством Российской Федерации, а также при необходимости — уведомлению иных лиц, если такое уведомление требуется законом.

7.7. Сроки хранения, прекращение обработки, блокирование и уточнение.

7.7.1. Персональные данные хранятся не дольше, чем этого требуют цели их обработки и сроки, установленные законодательством РФ (конкретные сроки — в разделе 4 Политики).

7.7.2. Оператор прекращает обработку персональных данных, в частности, в следующих случаях:

— выявлен факт неправомерной обработки персональных данных;

— достигнута цель обработки персональных данных или утрачена необходимость в её достижении; — истёк срок действия согласия или субъект персональных данных отозвал согласие (если обработка основана на согласии и отсутствуют иные законные основания);

— прекращение деятельности Оператора.

7.7.3. При обращении субъекта персональных данных (его представителя) либо уполномоченного органа, а также при выявлении недостоверности данных Оператор осуществляет блокирование соответствующих персональных данных на период проверки. При подтверждении неточности персональные данные подлежат уточнению, а блокирование снимается.

7.8. Уничтожение персональных данных.

7.8.1. Персональные данные подлежат уничтожению, если иное не требуется законодательством РФ, по достижении целей обработки или при утрате необходимости в достижении таких целей, а также в иных случаях, предусмотренных законом.

7.8.2. Уничтожение персональных данных осуществляется способами, исключающими возможность последующего восстановления персональных данных, в том числе:

— для бумажных носителей: измельчение (шредирование) и/или иные способы, исключающие восстановление; — для электронных носителей: безвозвратное удаление с применением методов, исключающих восстановление (включая очистку/перезапись), либо физическое уничтожение носителя (при необходимости). 7.8.3. Факт уничтожения персональных данных оформляется в порядке, установленном Оператором (в том числе актом/записью), с указанием состава уничтоженных данных, основания уничтожения, даты и способа уничтожения.

7.8.4. Порядок уничтожения персональных данных, включая порядок работы с резервными копиями и выгрузками, может устанавливаться локальными нормативными актами Оператора.

7.9. Пересмотр мер защиты.

Оператор периодически пересматривает применяемые меры защиты персональных данных, а также актуальность внутренних процедур с учётом изменений законодательства РФ, используемых технологий/сервисов и актуальных угроз безопасности.

8. Заключительные положения

8.1. Оператор вправе вносить изменения в настоящую Политику конфиденциальности.

8.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на Сайте Оператора, если иное не предусмотрено новой редакцией Политики конфиденциальности

8.3. Все предложения или вопросы по настоящей Политике конфиденциальности следует сообщать Оператору по адресу info@smartsmoker.ru.