1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана Обществом с ограниченной ответственностью «Биоритмика» (далее — Оператор) в соответствии с требованиями пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных клиентов и пользователей сервисов Оператора, а также сведения о реализуемых требованиях к защите персональных данных.
1.2. Действие настоящей Политики распространяется на все персональные данные клиентов и пользователей, которые Оператор может получить:
• при использовании сайта по адресу https://bioritmica.ru, включая его поддомены и страницы (далее — Сайт);
• при прохождении онлайн-теста на определение хронотипа (CMQ-тест), размещённого на Сайте;
• при оформлении заказа на продукцию Оператора (биологически активные добавки к пище, далее также — БАД, в наборах «Хроносет»);
• при использовании чат-ботов Оператора в мессенджерах Telegram (https://t.me/bioritmica_chrono_bot) и MAX (https://max.ru/id9725116048_1_bot) (далее — Боты);
• при обращении в службу поддержки Оператора по электронной почте, телефону или через иные каналы связи.
1.3. Оператор зарегистрирован в реестре операторов, осуществляющих обработку персональных данных, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — регистрационная запись № 77-23-152978 от 25.09.2023.
1.4. Персональные данные относятся к категории конфиденциальной информации и защищаются Оператором от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
1.5. Используя Сайт, проходя CMQ-тест, оформляя заказ или начиная взаимодействие с Ботами, субъект персональных данных подтверждает, что ознакомлен с настоящей Политикой и согласен с порядком обработки своих персональных данных, описанным в ней.
1.6. Настоящая Политика регулирует исключительно отношения по обработке персональных данных клиентов и пользователей сервисов Оператора. Порядок обработки персональных данных работников, кандидатов на вакантные должности, представителей контрагентов и иных лиц регулируется отдельными локальными нормативными актами Оператора и в настоящей Политике не описывается.
1.7. Настоящая Политика разработана с учётом положений 152-ФЗ, Закона Российской Федерации от 7 февраля 1992 г. № 2300-1 «О защите прав потребителей», Федерального закона от 13 марта 2006 г. № 38-ФЗ «О рекламе», иных нормативных правовых актов Российской Федерации.
2. Основные понятия, используемые в настоящей Политике
2.1. В настоящей Политике используются следующие основные понятия:
персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
оператор — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
субъект персональных данных — физическое лицо, которому принадлежат соответствующие персональные данные. В контексте настоящей Политики — клиент или пользователь сервисов Оператора;
клиент — физическое лицо, оформившее заказ на продукцию Оператора через Сайт либо использующее иные сервисы Оператора;
Хроносет — набор биологически активных добавок к пище производства или поставки Оператора, состав которого подобран в соответствии с хронотипом и полом клиента;
CMQ-тест — размещённый на Сайте опросник на основе шкалы Composite Morningness Questionnaire, по результатам которого пользователю предоставляется информация о его хронотипе («жаворонок», «сова», «голубь»). CMQ-тест носит исключительно информационно-рекомендательный характер и не является медицинским диагностическим инструментом;
Бот — программно-аппаратный комплекс, обеспечивающий автоматизированное взаимодействие с пользователем посредством мессенджеров Telegram и MAX, в том числе для целей напоминания о приёме продукции, проведения игровой механики «Битва хронотипов» и обработки повторных заказов.
3. Принципы и условия обработки персональных данных
3.1. Обработка персональных данных Оператором осуществляется на основе следующих принципов:
• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
• при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях — актуальность по отношению к целям обработки персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Обработка персональных данных Оператором осуществляется при наличии хотя бы одного из следующих условий:
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка персональных данных осуществляется в целях, предусмотренных федеральными законами, в том числе для исполнения возложенных на Оператора обязанностей в сфере налогового, бухгалтерского учёта и контрольно-кассовой техники.
3.3. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных.
3.4. Результаты прохождения CMQ-теста (хронотип, пол, расчётный показатель) обрабатываются Оператором исключительно в целях подбора подходящего по составу набора Хроносет и в маркетинговых целях по сегментированию аудитории. CMQ-тест не является методом диагностики заболеваний, его результаты не подменяют собой консультацию медицинского работника. Продукция Оператора является биологически активной добавкой к пище и не является лекарственным средством. Перед применением рекомендуется проконсультироваться со специалистом.
3.5. Продукция Оператора предназначена для лиц, достигших возраста 18 лет. Оформляя заказ, клиент подтверждает, что является совершеннолетним.
4. Цели обработки и состав обрабатываемых персональных данных
4.1. Оператор обрабатывает персональные данные клиентов и пользователей в составе и в целях, описанных в настоящем разделе. Для каждой категории данных указаны: цель обработки, правовое основание, способ обработки, срок хранения и порядок уничтожения.
4.2. Прохождение CMQ-теста на Сайте
Цель обработки: подбор персонализированного набора Хроносет, информирование пользователя о его хронотипе, последующая сегментация аудитории в маркетинговых целях.
Правовое основание: согласие субъекта персональных данных, данное путём прохождения теста и явного согласия с условиями настоящей Политики.
Состав обрабатываемых персональных данных:
• пол (обязательное поле для подбора набора);
• имя (по желанию пользователя, необязательное поле);
• ответы на вопросы CMQ-теста;
• расчётный показатель CMQ (балл);
• определённый по результатам теста хронотип («жаворонок», «сова» или «голубь»).
Способ обработки: смешанная обработка, в том числе автоматизированная, с передачей по защищённым каналам связи и хранением в информационных системах Оператора.
Срок хранения: до отзыва согласия субъекта персональных данных. При оформлении заказа результаты CMQ-теста привязываются к карточке клиента в системе управления взаимоотношениями с клиентами (CRM) и хранятся в соответствии с пунктом 4.3 настоящей Политики.
4.3. Оформление заказа на Сайте (чекаут)
Цель обработки: заключение и исполнение договора розничной купли-продажи продукции Оператора, в том числе подтверждение заказа, оплата, организация доставки, бухгалтерский и налоговый учёт, фискализация платежей в соответствии с требованиями Федерального закона от 22 мая 2003 г. № 54-ФЗ, послепродажное обслуживание, обработка обращений в службу поддержки.
Правовое основание: исполнение договора, стороной которого является субъект персональных данных (пункт 5 части 1 статьи 6 152-ФЗ); согласие субъекта персональных данных; требования законодательства Российской Федерации в области бухгалтерского учёта и применения контрольно-кассовой техники.
Состав обрабатываемых персональных данных:
• фамилия, имя (отчество — по желанию);
• номер контактного телефона;
• адрес электронной почты;
• адрес доставки или код пункта выдачи заказов СДЭК;
• сведения о заказе: состав, стоимость, дата, статус;
• идентификатор платежа, статус платежа (данные банковской карты Оператору не передаются, проходят непосредственно через защищённую платёжную страницу ПАО «Тинькофф Банк»).
Способ обработки: смешанная обработка, в том числе автоматизированная.
Срок хранения:
• сведения о заказах и связанная с ними бухгалтерская первичная документация — 5 лет, как это требуется пунктом 1 статьи 29 Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учёте» и статьёй 23 Налогового кодекса Российской Федерации;
• фамилия, имя, контактный телефон, адрес электронной почты, адрес доставки — 3 года с даты последнего заказа клиента или до отзыва согласия субъекта персональных данных, в зависимости от того, что наступит позднее.
4.4. Использование чат-ботов Оператора
Цель обработки: предоставление пользователю функционала Ботов, включая напоминания о приёме продукции, участие в игровой механике «Битва хронотипов», обработку повторных заказов через диплинк, ответы на обращения в службу поддержки.
Правовое основание: согласие субъекта персональных данных, выраженное путём начала взаимодействия с Ботом и подтверждения согласия с условиями использования Ботов и настоящей Политикой при прохождении первичной настройки (онбординга).
Состав обрабатываемых персональных данных:
• идентификатор пользователя в мессенджере (Telegram user ID или MAX user ID);
• имя пользователя в мессенджере (username) — при наличии и при условии его публичного раскрытия пользователем в настройках мессенджера;
• имя, указанное пользователем в профиле мессенджера;
• история взаимодействия пользователя с Ботом: пройденные шаги онбординга, нажатия на кнопки меню, ответы в игровой механике, время отправки сообщений;
• настройки уведомлений: время напоминаний, часовой пояс пользователя (указывается пользователем самостоятельно);
• связка идентификатора пользователя в мессенджере с карточкой клиента в системе управления взаимоотношениями с клиентами (для целей привязки к ранее оформленному заказу);
• факт и дата подтверждения согласия пользователя с настоящей Политикой и условиями использования Ботов.
Способ обработки: автоматизированная обработка.
Срок хранения: до отказа пользователя от использования соответствующего Бота (отписки, удаления учётной записи в мессенджере либо подачи требования об удалении данных) плюс 90 календарных дней, в течение которых данные могут храниться в резервных копиях информационных систем Оператора.
Цель обработки: обеспечение работоспособности Сайта, анализ пользовательской активности на Сайте, измерение эффективности рекламных кампаний, улучшение качества сервисов Оператора.
Правовое основание:
• для технически необходимых файлов cookie (поддержание сессии, корзина заказа, базовые настройки интерфейса) — законные интересы Оператора по обеспечению функционирования Сайта;
• для аналитических и рекламных cookie (Яндекс.Метрика, рекламный пиксель ВКонтакте) — согласие субъекта персональных данных, полученное через информационный баннер о cookie при первом посещении Сайта и в любой момент отзываемое в настройках Сайта или путём очистки cookie в браузере.
Состав обрабатываемых данных:
• анонимный идентификатор клиента (client_id), сохраняемый в локальном хранилище браузера (localStorage);
• сведения о действиях пользователя на Сайте: просмотренные страницы, переходы, нажатия на элементы интерфейса, время сеанса;
• технические сведения: IP-адрес, тип и версия браузера, тип устройства, разрешение экрана, источник перехода (UTM-метки, реферер);
• идентификаторы сессий и cookie-файлы, устанавливаемые Сайтом и сервисами третьих лиц (см. раздел 8 настоящей Политики).
Способ обработки: автоматизированная обработка.
Срок хранения:
• собственные обезличенные события на Сайте (хранятся в аналитической базе данных Оператора на поддомене analytics.bioritmica.ru) — 2 года с момента события;
• файлы cookie Яндекс.Метрики — до 2 лет, в соответствии с политикой ООО «Яндекс»;
• логи серверов, технические журналы — 12 месяцев.
Сведения, собираемые посредством метрических программ, по умолчанию обрабатываются в обезличенном виде и не позволяют без дополнительных данных идентифицировать конкретного субъекта.
4.6. Обращения в службу поддержки
Цель обработки: рассмотрение обращений, запросов, претензий, заявлений субъектов персональных данных; ответ на обращения; разрешение спорных ситуаций.
Правовое основание: согласие субъекта персональных данных; исполнение договора; реализация прав субъекта персональных данных, предусмотренных 152-ФЗ.
Состав обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), адрес электронной почты или иные контактные данные, использованные субъектом для обращения, содержание обращения и приложенных к нему документов.
Срок хранения: 3 года с даты получения обращения, если иной срок не установлен законодательством Российской Федерации.
4.7. Маркетинговые коммуникации
Цель обработки: направление субъекту персональных данных информационных и рекламных сообщений о продукции, акциях, новостях Оператора по каналам, выбранным субъектом (электронная почта, чат-боты, иные каналы).
Правовое основание: предварительное согласие субъекта персональных данных на получение рекламной информации, данное отдельно от иных согласий в порядке, предусмотренном частью 1 статьи 18 Федерального закона от 13 марта 2006 г. № 38-ФЗ «О рекламе». Согласие может быть отозвано в любое время по контактам, указанным в разделе 17 настоящей Политики, а также путём использования штатных средств отписки (например, ссылки «Отписаться» в письме или соответствующей команды в Боте).
Состав обрабатываемых данных: контактные данные субъекта (адрес электронной почты, идентификатор пользователя в Боте), хронотип, пол, история заказов и взаимодействия с Ботом — для целей сегментации маркетинговых коммуникаций.
Срок хранения: до отзыва согласия на получение рекламных и информационных сообщений.
Сервисные сообщения (подтверждение заказа, статус доставки, напоминания о приёме продукции, ответы службы поддержки) рассылками в смысле законодательства о рекламе не являются и направляются на основании исполнения договора с субъектом.
5. Порядок и источники сбора персональных данных
5.1. Сбор персональных данных осуществляется Оператором непосредственно у самого субъекта персональных данных, в том числе:
• при заполнении форм на Сайте (CMQ-тест, оформление заказа, обращение в службу поддержки);
• при взаимодействии пользователя с Ботами в мессенджерах Telegram и MAX;
• автоматически — при посещении Сайта посредством файлов cookie и метрических программ;
• при направлении субъектом обращения по электронной почте, телефону или через иные каналы связи.
5.2. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с требованиями части 5 статьи 18 152-ФЗ.
5.3. Если предоставление персональных данных является обязательным в соответствии с федеральным законом или условиями договора, субъекту персональных данных разъясняются юридические последствия отказа в предоставлении таких данных. В частности, отказ в предоставлении фамилии, имени, контактного телефона, адреса электронной почты и адреса доставки делает невозможным оформление заказа на Сайте и исполнение договора розничной купли-продажи.
6. Действия с персональными данными
6.1. При обработке персональных данных Оператор осуществляет следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.
6.2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.
6.3. Оператор не принимает на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Автоматизированный подбор состава Хроносета по результатам CMQ-теста не является таким решением, поскольку носит рекомендательный характер и не возлагает на субъекта обязанностей.
6.4. Обработка персональных данных может быть поручена Оператором третьему лицу с согласия субъекта персональных данных либо по основаниям, предусмотренным законодательством Российской Федерации. Перечень таких третьих лиц приведён в разделе 8 настоящей Политики.
6.5. В случае подтверждения факта неточности персональных данных такие персональные данные подлежат актуализации Оператором в течение семи рабочих дней с момента подтверждения.
7. Хранение персональных данных
7.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является субъект персональных данных.
7.2. Конкретные сроки хранения по категориям персональных данных приведены в разделе 4 настоящей Политики.
7.3. Хранение персональных данных осуществляется с учётом обеспечения режима их конфиденциальности и принятых Оператором мер по обеспечению безопасности персональных данных.
7.4. Базы данных, содержащие персональные данные граждан Российской Федерации, размещаются на серверах, физически расположенных на территории Российской Федерации (хостинг-провайдеры: ООО «Яндекс.Облако» и ООО «Бегет», обеспечивающие хостинг Сайта, информационных систем Ботов и аналитической инфраструктуры Оператора).
7.5. По достижении целей обработки или в случае утраты необходимости в достижении этих целей персональные данные подлежат уничтожению или обезличиванию в установленные настоящей Политикой и законодательством Российской Федерации сроки, если иное не предусмотрено федеральным законом.
8. Передача персональных данных третьим лицам
8.1. Оператор передаёт персональные данные субъектов третьим лицам только в объёме, необходимом для достижения целей, указанных в разделе 4 настоящей Политики, и только на основаниях, предусмотренных законодательством Российской Федерации, в том числе на основании согласия субъекта персональных данных.
8.2. К третьим лицам, которым Оператор поручает обработку персональных данных или которым передаёт персональные данные, относятся:
ПАО «Тинькофф Банк» (АО «Тбанк») — приём онлайн-платежей и эквайринг; передаются: фамилия, имя, контактные данные, сведения о заказе. Данные банковской карты обрабатываются непосредственно банком и Оператору не передаются.
АО «Курьер Сервис Экспресс» и/или иные операторы услуг доставки (СДЭК) — организация доставки заказа; передаются: фамилия, имя, контактный телефон, адрес доставки или код пункта выдачи заказов, сведения о составе и стоимости заказа в объёме, необходимом для оформления отправления.
ООО «Интеллектуальная розница» (RetailCRM) или иной правообладатель системы управления взаимоотношениями с клиентами — ведение карточек клиентов, обработка заказов, история взаимодействия. Передаются все данные, обрабатываемые в карточке клиента.
ООО «Логнекс» (МойСклад) — складской учёт, учёт оборота маркированной продукции; передаются обезличенные сведения о составе и количестве заказа, артикулы товаров.
ООО «Бизнес.Ру» (сервис «Бизнес.Ру Онлайн-Чеки») и оператор фискальных данных — формирование и передача фискальных чеков в Федеральную налоговую службу и государственную информационную систему мониторинга за оборотом товаров, подлежащих обязательной маркировке («Честный знак»); передаются: сведения о покупателе (фамилия и имя, контактные данные в объёме, требуемом законодательством о применении контрольно-кассовой техники), сведения о заказе.
ООО «Яндекс» — оказание услуг веб-аналитики (Яндекс.Метрика); передаются: обезличенные сведения о пользовательской активности на Сайте, файлы cookie, идентификаторы устройств, сведения о просмотрах страниц.
ООО «Яндекс.Облако» — хостинг информационных систем Оператора, хранение баз данных на серверах, расположенных на территории Российской Федерации.
ООО «Бегет» — хостинг Сайта, информационных систем Ботов и аналитической инфраструктуры на серверах, расположенных на территории Российской Федерации.
ООО «ВК» (рекламный пиксель ВКонтакте) — измерение эффективности рекламных кампаний; передаются: обезличенные сведения о действиях пользователей на Сайте, идентификаторы устройств. Передача осуществляется только при наличии согласия пользователя на обработку аналитических и рекламных cookie.
Telegram Messenger Inc. (мессенджер Telegram) — обеспечение функционирования чат-бота Оператора в мессенджере Telegram; обмен сообщениями между Оператором и пользователем осуществляется через инфраструктуру Telegram. Telegram Messenger Inc. является иностранным юридическим лицом; передача данных через инфраструктуру Telegram относится к трансграничной передаче (см. раздел 9 настоящей Политики).
ООО «Цифровые технологии» / иной оператор сервиса MAX (мессенджер MAX) — обеспечение функционирования чат-бота Оператора в мессенджере MAX; обмен сообщениями осуществляется через инфраструктуру MAX, расположенную на территории Российской Федерации.
8.3. Передача персональных данных органам государственной власти, иным уполномоченным органам осуществляется по основаниям, предусмотренным законодательством Российской Федерации, в том числе при поступлении в адрес Оператора соответствующих запросов.
8.4. Раскрытие персональных данных субъекта неопределённому кругу лиц в коммерческих целях не допускается.
9. Трансграничная передача персональных данных
9.1. Использование Оператором мессенджера Telegram в качестве канала взаимодействия с пользователями влечёт трансграничную передачу персональных данных пользователей (включая идентификатор пользователя в Telegram, имя пользователя при наличии, содержание сообщений) в адрес иностранного юридического лица — Telegram Messenger Inc.
9.2. Трансграничная передача персональных данных осуществляется Оператором при наличии согласия субъекта персональных данных, выраженного при начале использования соответствующего Бота и подтверждённого согласием с настоящей Политикой, либо по иным основаниям, предусмотренным частью 4 статьи 12 152-ФЗ.
9.3. До начала осуществления трансграничной передачи персональных данных Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своём намерении в порядке, установленном статьёй 12 152-ФЗ.
9.4. В случае нежелания субъекта персональных данных, чтобы его данные передавались за пределы Российской Федерации, субъект вправе не использовать чат-бот в мессенджере Telegram. Аналогичный функционал доступен через чат-бот в мессенджере MAX, инфраструктура которого расположена на территории Российской Федерации.
10. Условия и порядок прекращения обработки персональных данных
10.1. В случае достижения цели обработки персональных данных обработка таких персональных данных прекращается, а персональные данные подлежат уничтожению в тридцатидневный срок с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
10.2. В случае отзыва субъектом согласия на обработку его персональных данных обработка таких персональных данных прекращается, и, если сохранение персональных данных более не требуется для целей обработки персональных данных, такие персональные данные подлежат уничтожению в течение тридцати дней с даты поступления указанного отзыва. Оператор сохраняет за собой право продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных частями 2, 3 статьи 6 и иными положениями 152-ФЗ (в частности, для исполнения обязательств в области бухгалтерского, налогового учёта и при наличии законного интереса в защите прав Оператора).
10.3. В случае выявления неправомерной обработки персональных данных обработка таких персональных данных прекращается в течение трёх рабочих дней. Если обеспечить правомерность обработки персональных данных невозможно, персональные данные подлежат уничтожению в течение десяти рабочих дней с даты выявления неправомерной обработки.
10.4. В случае отсутствия возможности уничтожения персональных данных в сроки, указанные в пунктах 10.1–10.3 настоящей Политики, обеспечивается блокирование таких персональных данных и их уничтожение в срок не более шести месяцев, если иной срок не установлен законодательством Российской Федерации.
10.5. Уничтожение персональных данных осуществляется штатными средствами программного обеспечения информационных систем Оператора, бумажные носители (при их наличии) уничтожаются путём измельчения. Уничтожение данных в резервных копиях производится в порядке штатной ротации резервных копий — в течение 90 календарных дней после удаления данных из основной информационной системы.
11. Доступ к персональным данным
11.1. Право доступа к персональным данным, обрабатываемым Оператором, имеют:
• генеральный директор ООО «Биоритмика»;
• лицо, ответственное за организацию обработки персональных данных у Оператора;
• работники Оператора, для которых обработка персональных данных необходима в связи с исполнением их должностных обязанностей (в объёме, необходимом для выполнения соответствующих функций);
• третьи лица, осуществляющие обработку персональных данных по поручению Оператора на основании заключённого с ним договора (поручения), — в объёме, определённом таким поручением, и при условии соблюдения требований к обеспечению безопасности персональных данных.
11.2. Допуск работников Оператора к персональным данным осуществляется на основании внутреннего акта Оператора с учётом занимаемой должности и выполняемых трудовых функций.
12. Права субъекта персональных данных и порядок их реализации
12.1. Субъект персональных данных, персональные данные которого обрабатываются Оператором, имеет право:
• получать подтверждение факта обработки персональных данных Оператором, а также сведения о правовых основаниях, целях, способах обработки персональных данных;
• знакомиться со своими персональными данными, в том числе путём получения их копий;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзывать своё согласие на обработку персональных данных, если такое согласие давалось;
• требовать прекращения обработки персональных данных;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;
• получать информацию о трансграничной передаче персональных данных (осуществляемой или предполагаемой);
• осуществлять иные права, предусмотренные 152-ФЗ.
12.2. Для реализации своих прав субъект персональных данных направляет соответствующий запрос Оператору одним из следующих способов:
• на адрес электронной почты privacy@bioritmica.ru;
• на почтовый адрес Оператора, указанный в разделе 17 настоящей Политики.
12.3. Запрос субъекта персональных данных (или его законного представителя) должен содержать:
• номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта в отношениях с Оператором (номер заказа, дата заказа, адрес электронной почты, использованный при оформлении заказа, идентификатор пользователя в Боте либо иные сведения), или сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя (для запросов на бумажном носителе) либо иную форму подтверждения волеизъявления, допускаемую законодательством Российской Федерации (для запросов в электронной форме).
12.4. Оператор предоставляет ответ на запрос в течение десяти рабочих дней с момента его получения, в форме, в которой получен запрос (если иное не указано в запросе). Срок ответа на запрос может быть продлён Оператором, но не более чем на пять рабочих дней, с направлением субъекту мотивированного уведомления о причинах продления.
12.5. Субъект персональных данных вправе повторно обратиться к Оператору с запросом тех же сведений не ранее чем через тридцать дней после первоначального обращения, если иное не предусмотрено законодательством Российской Федерации.
12.6. В случае отзыва согласия на обработку персональных данных и удаления данных из активных информационных систем Оператора, отдельные категории данных могут быть сохранены Оператором в течение установленных законодательством сроков, если их обработка необходима для исполнения требований законодательства Российской Федерации (в частности, для целей бухгалтерского и налогового учёта, защиты прав Оператора при претензионной работе).
12.7. Для удаления данных, обрабатываемых в Ботах, субъект также вправе использовать штатные средства Ботов (соответствующие команды или кнопки), если они предусмотрены в интерфейсе Бота. При отсутствии такого функционала или невозможности его использования субъект обращается к Оператору в порядке, предусмотренном пунктом 12.2 настоящей Политики.
13. Выполнение Оператором обязанностей, предусмотренных законодательством
13.1. С целью выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, Оператором принимаются следующие меры:
• назначение лица, ответственного за организацию обработки персональных данных;
• издание документов, определяющих политику обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации;
• оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации;
• ознакомление работников Оператора с положениями законодательства Российской Федерации о персональных данных и локальными актами Оператора.
13.2. В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор уведомляет Роскомнадзор:
• в течение 24 часов с момента выявления — о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде, нанесённом правам субъектов персональных данных, и принятых мерах по устранению последствий, включая сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с инцидентом;
• в течение 72 часов с момента выявления — о результатах внутреннего расследования инцидента и о лицах, действия которых стали причиной инцидента (при их установлении).
14. Защита персональных данных
14.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
14.2. С целью обеспечения безопасности персональных данных Оператором осуществляются следующие мероприятия:
• определение угроз безопасности персональных данных при их обработке в информационных системах;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, обеспечивающих выполнение требований к установленным уровням защищённости персональных данных;
• использование шифрования при передаче данных между Сайтом и пользователем (протокол HTTPS/TLS);
• разграничение доступа к информационным системам персональных данных на основании ролей и должностных обязанностей;
• применение средств антивирусной защиты, межсетевого экранирования, контроля целостности;
• регулярное резервное копирование данных и контроль за сохранностью резервных копий;
• регистрация и учёт действий, совершаемых с персональными данными в информационных системах;
• обнаружение фактов несанкционированного доступа к персональным данным и реагирование на такие инциденты;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных.
14.3. Уровень защищённости персональных данных в информационных системах Оператора определяется в соответствии с требованиями Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Оператор обеспечивает необходимый уровень защищённости персональных данных с учётом категории обрабатываемых персональных данных, количества субъектов персональных данных и актуальных угроз безопасности.
15. Ответственность
15.1. За нарушение требований, установленных законодательством Российской Федерации о персональных данных и настоящей Политикой, работники Оператора и иные лица, получившие доступ к персональным данным, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
16. Заключительные положения
16.1. К настоящей Политике обеспечивается неограниченный доступ всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных. Актуальная редакция Политики размещается на официальном Сайте Оператора по адресу https://bioritmica.ru/privacy.
16.2. Настоящая Политика вступает в силу с даты её утверждения и размещения на Сайте и действует бессрочно — до её отмены или замены новой редакцией.
16.3. Оператор вправе вносить изменения в настоящую Политику. Изменения вступают в силу с момента размещения новой редакции Политики на Сайте, если иной срок не указан в новой редакции. Дата последней редакции Политики указывается в её начале.
16.4. В случае существенного изменения настоящей Политики, в результате которого изменяются условия обработки персональных данных или объём прав субъекта, Оператор уведомляет об этом субъектов персональных данных доступными способами, в том числе путём публикации уведомления на Сайте и (или) направления сообщения через Боты.
16.5. Все вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с законодательством Российской Федерации.
17. Реквизиты и контактная информация Оператора
Оператор персональных данных:
Общество с ограниченной ответственностью «Биоритмика» (ООО «Биоритмика»)
ИНН: 9725116048
КПП: 772501001
ОГРН: 1237700149246
ОКПО: 73499935
Юридический адрес: 115114, г. Москва, Дербеневская набережная, д. 7, стр. 2, помещ. 24Т
Адрес электронной почты для общих обращений: mail@bioritmica.ru
Адрес электронной почты для запросов в связи с обработкой персональных данных: privacy@bioritmica.ru
Контактный телефон: +7 909 9523698
Сайт: https://bioritmica.ru
Лицо, ответственное за организацию обработки персональных данных у Оператора, — Генеральный директор Кутепов Максим. Контакты для обращения — privacy@bioritmica.ru.
БАД. Не является лекарственным средством. Перед применением рекомендуется проконсультироваться со специалистом.