ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

в отношении обработки персональных данных

Индивидуального предпринимателя Пеньковой Натальи Дмитриевны бренд N’UKY

Дата вступления в силу: 23 марта 2026 года

1. Общие положения

1.1. Назначение документа

Настоящая Политика конфиденциальности в отношении обработки персональных данных (далее — Политика) разработана Индивидуальным предпринимателем Пеньковой Натальей (далее — Оператор) в целях исполнения требований законодательства Российской Федерации о персональных данных, обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, а также информирования субъектов персональных данных о том, какие данные, для каких целей, на каком основании и каким образом обрабатываются Оператором.

1.2. Оператор

Оператор осуществляет деятельность под брендом N’UKY в сфере продажи товаров народного потребления, а также сопутствующего информационного, консультационного, сервисного и маркетингового сопровождения клиентов и пользователей цифровых ресурсов бренда.

1.3. На какие ресурсы распространяется Политика

Настоящая Политика распространяется на обработку персональных данных, осуществляемую при использовании следующих ресурсов и каналов взаимодействия:

официального сайта: https://nuky.ru/

страницы/аккаунтов бренда в социальных сетях, включая: https://www.instagram.com/nuky.est.2024/

https://t.me/nuky_ru

форм обратной связи, форм заказа, форм подписки, виджетов, мессенджеров, электронных писем, телефонных коммуникаций и иных каналов, через которые субъект персональных данных взаимодействует с Оператором;

сервисов аналитики, рекламных кабинетов, CRM-систем, служб доставки, платежных сервисов и иных программно-технических средств, используемых Оператором в рамках законной деятельности;

любых документов, анкет, заявлений, обращений, претензий, отзывов, заявок, направляемых в адрес Оператора в бумажной или электронной форме.

1.4. Соотношение с иными документами

Настоящая Политика применяется совместно с иными документами Оператора, включая, при наличии и применимости:

публичную оферту или условия продажи товаров;

согласия на обработку персональных данных;

согласия на получение рекламных и информационных сообщений;

согласия на обработку персональных данных, разрешенных субъектом для распространения, если такое распространение осуществляется;

cookie-баннер, cookie-уведомление и настройки согласий;

внутренние локальные акты по обработке и защите персональных данных;

договоры с уполномоченными лицами и подрядчиками.

1.5. Основные принципы обработки

Оператор исходит из того, что обработка персональных данных должна осуществляться:

на законной и справедливой основе;

с ограничением обработки достижением конкретных, заранее определенных и законных целей;

без объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

только в отношении тех персональных данных, которые отвечают целям обработки;

с обеспечением точности, достаточности и в необходимых случаях актуальности данных;

не дольше, чем этого требуют цели обработки, если иной срок не предусмотрен законом, договором или основанием обработки. Эти базовые принципы закреплены в Федеральном законе № 152-ФЗ.

2. Термины и определения

Для целей настоящей Политики используются термины в значении, установленном законодательством Российской Федерации, в том числе Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». В частности:

персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу;

оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и действия, совершаемые с ними; Роскомнадзор отдельно разъясняет, что оператором может быть и физическое лицо, и что статус оператора существует независимо от включения в реестр.

обработка персональных данных — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение;

автоматизированная обработка — обработка с использованием средств вычислительной техники;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и/или уничтожаются материальные носители данных;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

3. Правовые основания обработки персональных данных

3.1. Общие основания

Оператор обрабатывает персональные данные при наличии хотя бы одного из законных оснований, включая:

согласие субъекта персональных данных;

необходимость обработки для заключения, исполнения, изменения или прекращения договора, стороной, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации;

необходимость осуществления прав и законных интересов Оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

иные основания, предусмотренные законодательством РФ.

3.2. Нормативная база, учитываемая Оператором

При разработке и применении настоящей Политики Оператор учитывает, в частности:

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

положения о необходимости уведомления Роскомнадзора до начала обработки, кроме случаев, прямо выведенных из этого правила;

требования к уведомлению об инцидентах, связанных с неправомерной или случайной передачей, предоставлением, распространением или доступом к персональным данным, в том числе первичное уведомление в течение 24 часов и сообщение о результатах внутреннего расследования в течение 72 часов;

требования о локализации баз данных российских субъектов персональных данных на территории Российской Федерации; Роскомнадзор продолжает публиковать методические материалы и разъяснения по этой теме;

требования о трансграничной передаче персональных данных, включая обязанность предварительного соблюдения установленного порядка информирования Роскомнадзора в применимых случаях;

требования к подтверждению уничтожения персональных данных; Роскомнадзор в FAQ прямо ссылается на приказ № 179 от 28.10.2022.

3.3. Международные нормы

Если Оператор фактически предлагает товары или услуги лицам, находящимся за пределами Российской Федерации, либо иным образом подпадает под применение зарубежных режимов защиты данных, Оператор стремится учитывать применимые требования такого законодательства в той мере, в какой они обязательны для него, однако базовым и первоочередным режимом для настоящей Политики является законодательство Российской Федерации.

4. Категории субъектов персональных данных

Оператор может обрабатывать персональные данные следующих категорий субъектов:

посетителей сайта;

покупателей и потенциальных покупателей товаров N’UKY;

лиц, направляющих обращения, вопросы, претензии, отзывы, запросы, заявки;

лиц, подписавшихся на рассылки, уведомления, новости или рекламные материалы;

участников маркетинговых активностей, акций, конкурсов и опросов;

представителей контрагентов, если такие данные передаются Оператору в рамках договорных отношений;

пользователей, взаимодействующих с аккаунтами бренда в социальных сетях;

иных физических лиц, чьи данные предоставлены Оператору законным способом и в рамках законных целей.

5. Категории и перечень обрабатываемых персональных данных

5.1. Идентификационные данные

В зависимости от конкретной цели обработки Оператор может обрабатывать:

фамилию, имя, отчество;

имя пользователя или никнейм;

дату рождения, если это необходимо для конкретной акции или проверки возраста и прямо запрашивается;

иные сведения, предоставленные субъектом добровольно.

5.2. Контактные данные

Оператор может обрабатывать:

номер мобильного или иного телефона;

адрес электронной почты;

адрес доставки;

город, регион, индекс;

контактные данные в мессенджерах и социальных сетях;

иные контактные сведения, которые пользователь самостоятельно сообщает Оператору.

5.3. Данные, связанные с заказом и покупкой

Оператор может обрабатывать:

состав заказа;

сведения о выбранных товарах;

стоимость заказа;

сведения о способе доставки;

сведения о статусе исполнения заказа;

сведения о возврате, обмене, претензии;

историю взаимодействий, обращений и покупок;

сведения о способе оплаты и статусе платежа.

При этом реквизиты банковских карт, CVV/CVC-коды и иные чувствительные платежные реквизиты должны обрабатываться преимущественно платежным провайдером или банком-эквайером, если платежная инфраструктура выстроена надлежащим образом, а Оператор не должен хранить такие данные сверх фактической необходимости и без самостоятельного правового основания.

5.4. Технические данные

При посещении сайта и использовании цифровых ресурсов могут автоматически собираться:

IP-адрес;

данные cookie и аналогичных технологий;

дата и время доступа;

URL запрашиваемой страницы;

реферер;

данные браузера, операционной системы, языка интерфейса;

идентификаторы устройств;

технические журналы;

сведения о действиях пользователя на сайте;

информация о сессиях, источниках перехода, просмотрах, событиях и конверсиях.

5.5. Поведенческие и маркетинговые данные

Оператор может обрабатывать:

сведения о просмотренных товарах и разделах;

сведения о взаимодействии с контентом, рекламой, формами и рассылками;

сведения о предпочтениях пользователя;

историю откликов на акции, предложения и уведомления;

сегментационные признаки, формируемые для улучшения качества сервиса и повышения релевантности предложений, если такая обработка допустима законом и не нарушает права субъекта.

5.6. Данные, содержащиеся в обращениях

Оператор может обрабатывать информацию, содержащуюся в электронных письмах, сообщениях в мессенджерах, комментариях, претензиях, заявлениях, обращениях через формы обратной связи, включая текст обращения и приложения к нему.

5.7. Специальные категории персональных данных

Оператор не намерен целенаправленно собирать специальные категории персональных данных, касающиеся состояния здоровья, интимной жизни, политических взглядов, религиозных убеждений, биометрических данных и иных чувствительных сведений, если иное прямо не требуется законом или не предоставлено субъектом по собственной инициативе в составе обращения. В случае случайного получения таких сведений Оператор исходит из принципа минимизации и обрабатывает их только в объеме, необходимом для законной цели или ответа на запрос.

6. Источники и способы получения персональных данных

6.1. Получение напрямую от субъекта

Оператор получает персональные данные непосредственно от субъекта персональных данных, в том числе:

при оформлении заказа;

при заполнении формы обратной связи;

при подписке на рассылку;

при обращении по электронной почте;

при общении в мессенджерах;

при обращении через социальные сети;

при подаче претензии, запроса, отзыва, анкеты или иного обращения.

6.2. Автоматический сбор

Часть данных собирается автоматически при посещении сайта и использовании цифровых сервисов посредством cookies, пикселей, тегов, журналов сервера и иных аналогичных технологий.

6.3. Получение от третьих лиц

Оператор может получать данные от:

платежных провайдеров — о статусе платежа;

служб доставки — о статусе доставки;

рекламных и аналитических платформ — в пределах их функционала;

контрагентов и представителей клиента — при наличии правомерного основания;

социальных сетей и платформ — в объеме, доступном по настройкам пользователя и политике соответствующей платформы.

6.4. Добровольность предоставления

Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие свободно, своей волей и в своем интересе; это прямо отражено в разъяснениях Роскомнадзора для граждан.

7. Цели обработки персональных данных

Оператор обрабатывает персональные данные исключительно для конкретных, заранее определенных и законных целей.

7.1. Оформление, подтверждение и исполнение заказа

Цель включает:

прием и обработку заказов;

связь с покупателем;

подтверждение состава заказа;

организацию оплаты;

оформление доставки;

передачу товара;

сопровождение возврата, обмена, претензионной работы.

Правовое основание: договор, преддоговорные действия по инициативе субъекта, требования законодательства.

7.2. Обратная связь и обработка обращений

Цель включает:

ответ на вопросы;

обработку жалоб и претензий;

консультирование по товарам;

сопровождение обращений пользователей.

Правовое основание: законный интерес Оператора в обеспечении коммуникации с пользователями, а в необходимых случаях — согласие субъекта либо договор.

7.3. Предоставление сервисных уведомлений

Цель включает:

уведомления о статусе заказа;

сообщения о доставке;

сообщения о возврате, оплате, технических изменениях в сервисах;

иные необходимые сервисные коммуникации.

Правовое основание: исполнение договора, законный интерес Оператора.

7.4. Маркетинг, реклама и персонализированные предложения

Цель включает:

отправку новостей, рекламных материалов, специальных предложений;

анализ отклика на рекламные кампании;

проведение акций, розыгрышей, опросов;

сегментацию аудитории для направления релевантных предложений.

Правовое основание: согласие субъекта — в случаях, когда оно обязательно; в иных случаях — законный интерес Оператора при соблюдении требований законодательства о рекламе и персональных данных.

7.5. Улучшение сайта, сервиса и клиентского опыта

Цель включает:

анализ пользовательского поведения;

диагностику ошибок;

улучшение функциональности сайта;

оптимизацию навигации и контента;

повышение качества товаров, сервиса и коммуникаций.

Правовое основание: законный интерес Оператора, согласие пользователя — в случаях, когда это требуется для использования аналитических и маркетинговых cookie.

7.6. Обеспечение информационной безопасности

Цель включает:

защиту сайта и сервисов;

предотвращение мошенничества;

выявление подозрительной активности;

резервное копирование;

защиту от неправомерного доступа и иных инцидентов.

Правовое основание: исполнение обязанностей Оператора по обеспечению безопасности персональных данных и законный интерес Оператора.

7.7. Исполнение обязанностей, установленных законом

Цель включает:

ведение бухгалтерского и налогового учета;

исполнение обязанностей по хранению документов;

взаимодействие с государственными органами;

исполнение законных требований контролирующих и правоохранительных органов;

подготовку доказательственной базы по спорам;

исполнение требований законодательства о защите прав потребителей, персональных данных, рекламе, торговле и иных применимых норм.

Правовое основание: требования законодательства Российской Федерации.

8. Действия с персональными данными

Оператор вправе совершать с персональными данными следующие действия:

сбор;

запись;

систематизация;

накопление;

хранение;

уточнение (обновление, изменение);

извлечение;

использование;

передача (предоставление, доступ) в предусмотренных законом пределах;

обезличивание;

блокирование;

удаление;

уничтожение.

Обработка может осуществляться:

с использованием средств автоматизации;

без использования средств автоматизации;

смешанным способом.

Роскомнадзор отдельно разъясняет, что сайт при наличии баз данных и обеспечивающих их обработку технологий может являться информационной системой персональных данных.

9. Условия правомерности обработки

9.1. Законность и добросовестность

Оператор не обрабатывает данные «на всякий случай». Каждая операция с персональными данными должна быть связана с конкретной целью и правовым основанием.

9.2. Минимизация

Оператор стремится не запрашивать и не хранить данные, не являющиеся необходимыми для конкретной цели обработки.

9.3. Точность и актуальность

Оператор принимает разумные меры по поддержанию персональных данных в актуальном состоянии и предоставляет субъектам возможность уточнения своих данных.

9.4. Ограничение сроком

После достижения цели обработки либо при утрате правового основания данные подлежат удалению, уничтожению или обезличиванию, если иное не предусмотрено законом.

10. Сроки хранения персональных данных

10.1. Общий принцип

Персональные данные хранятся не дольше, чем этого требуют цели обработки, если более длительный срок не установлен:

законодательством Российской Федерации;

договором, стороной по которому является субъект;

согласием субъекта;

необходимостью защиты прав и законных интересов Оператора.

10.2. Примеры сроков и критериев

Оператор определяет срок хранения по следующим критериям:

данные заказа и исполнения договора — в течение срока исполнения обязательств, а затем в пределах сроков, необходимых для бухгалтерского, налогового, архивного учета, разрешения споров и защиты прав Оператора;

данные переписки и обращений — в течение срока, необходимого для рассмотрения обращения, плюс период, разумно необходимый для подтверждения факта и содержания коммуникации;

данные для рассылок — до отзыва согласия или отказа от рассылки, если иной срок не требуется законом;

технические журналы и логи безопасности — в течение периода, необходимого для обеспечения стабильной работы, расследования инцидентов и защиты инфраструктуры;

cookie и аналитические данные — в зависимости от типа cookie, срока жизни конкретного идентификатора и целей аналитики;

данные, подлежащие обязательному хранению по закону — в течение срока, установленного законодательством РФ.

10.3. Блокирование и уничтожение

Если субъект заявляет о недостоверности данных либо о неправомерности их обработки, Оператор рассматривает такой запрос и действует в сроки, предусмотренные законом. В актуальном тексте и разъяснениях по 152-ФЗ фигурируют, в частности, сроки в 7 рабочих дней для уточнения данных при подтверждении их неполноты, неточности или неактуальности, 3 рабочих дня для прекращения неправомерной обработки и до 10 рабочих дней для уничтожения данных, если обеспечить правомерность обработки невозможно.

10.4. Подтверждение уничтожения

Уничтожение персональных данных оформляется в порядке, соответствующем требованиям законодательства и подзаконных актов. Роскомнадзор прямо указывает на действующие требования к подтверждению уничтожения персональных данных, утвержденные приказом № 179 от 28.10.2022.

11. Хранение персональных данных и локализация баз данных

11.1. Локализация

При сборе персональных данных граждан Российской Федерации Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации, в той мере, в какой это требуется законодательством РФ о локализации персональных данных. Роскомнадзор продолжает применять и разъяснять это требование.

11.2. Использование облачных и внешних решений

Оператор вправе использовать облачные, программные и инфраструктурные решения сторонних поставщиков при условии, что:

их использование не противоречит требованиям законодательства РФ;

соблюдаются требования к безопасности персональных данных;

договоры с подрядчиками содержат обязательства по конфиденциальности и защите данных;

при наличии трансграничной передачи соблюден установленный законом порядок.

11.3. Резервные копии

Для обеспечения целостности и доступности информации Оператор может создавать резервные копии данных и журналов событий, при этом к ним применяются меры защиты не ниже мер, применяемых к основным системам.

12. Передача персональных данных третьим лицам

12.1. Общий принцип

Оператор не раскрывает и не распространяет персональные данные третьим лицам без правового основания. Обязанность не раскрывать и не распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом, прямо следует из статьи 7 Закона о персональных данных и разъяснений Роскомнадзора.

12.2. Категории получателей

Персональные данные могут передаваться следующим категориям лиц:

службам доставки и логистическим партнерам — для передачи товара, согласования доставки, уведомления о вручении;

платежным сервисам, банкам, эквайерам — для проведения и подтверждения оплаты;

IT-подрядчикам, хостинг-провайдерам, CRM-провайдерам — для технического обеспечения работы сайта и бизнес-процессов;

сервисам рассылок и коммуникаций — для отправки сообщений, если пользователь на них подписан или если это сервисные уведомления;

аналитическим и рекламным платформам — в пределах, допустимых законом и пользовательскими настройками согласия;

профессиональным консультантам Оператора — юристам, аудиторам, бухгалтерам, при условии обязанности соблюдать конфиденциальность;

государственным органам, органам дознания, следствия, суда, иным уполномоченным органам — в случаях и объеме, предусмотренных законодательством РФ;

иным лицам, если такая передача необходима для исполнения договора, защиты прав Оператора либо допускается законом.

12.3. Уполномоченные лица

Оператор вправе поручить обработку персональных данных другому лицу на основании договора или иного надлежащего акта. В таком случае Оператор требует от такого лица соблюдения конфиденциальности, безопасности данных, обработки только в пределах поручения и только в целях, соответствующих настоящей Политике и законодательству.

12.4. Передача по требованию закона

Оператор вправе передавать данные без отдельного согласия субъекта, если обязан сделать это по закону, судебному акту, акту уполномоченного государственного органа либо в иных случаях, прямо предусмотренных законодательством.

13. Трансграничная передача персональных данных

13.1. Общие положения

Если в рамках фактически используемых сервисов, платформ, рекламных кабинетов, социальных сетей, облачных решений или коммуникационных инструментов персональные данные передаются за пределы Российской Федерации, такая передача квалифицируется как трансграничная и осуществляется только при наличии законного основания и соблюдении применимого порядка.

13.2. Правовой режим

С 1 марта 2023 года действует новый порядок информирования Роскомнадзора о трансграничной передаче персональных данных; Роскомнадзор вправе по итогам рассмотрения принять решение о запрете или ограничении такой передачи. До начала трансграничной передачи оператор обязан соблюсти требования статьи 12 Закона о персональных данных.

13.3. Социальные сети и зарубежные платформы

При взаимодействии пользователя со страницами бренда в социальных сетях, в том числе на платформе Instagram, часть данных может обрабатываться самой платформой по ее собственным правилам, в том числе с использованием инфраструктуры за пределами Российской Федерации. Пользователь должен учитывать это обстоятельство при обращении к таким платформам. Настоящая Политика регулирует действия Оператора как самостоятельного оператора/организатора обработки, но не подменяет собой правила самой платформы.

13.4. Гарантии Оператора

В применимых случаях Оператор стремится:

минимизировать объем передаваемых за рубеж данных;

не передавать избыточные данные;

использовать договорные и организационные меры защиты;

проверять правомерность использования соответствующего сервиса;

выполнять требования российского законодательства до начала такой передачи.

14. Cookies и аналогичные технологии

14.1. Что такое cookies

Cookies — это небольшие фрагменты данных, которые передаются браузеру пользователя и могут сохраняться на устройстве при посещении сайта. Также могут использоваться пиксели, теги, SDK, локальное хранилище браузера и иные сходные технологии.

14.2. Какие cookies могут использоваться

На сайте могут использоваться следующие категории файлов и технологий:

строго необходимые — обеспечивают базовую работу сайта, навигацию, безопасность, сессии, корзину, оформление заказа;

функциональные — позволяют запомнить настройки, предпочтения, язык, регион и иные параметры;

аналитические — помогают оценивать посещаемость, поведение пользователей, производительность страниц и качество контента;

маркетинговые/рекламные — используются для оценки эффективности рекламы, персонализации предложений и ограничения частоты показа;

технические идентификаторы безопасности — используются для защиты от злоупотреблений, автоматизированных запросов и мошенничества.

14.3. Цели использования cookies

Cookies и аналогичные технологии используются для:

корректной работы сайта;

аутентификации и поддержания сессии;

сохранения пользовательских настроек;

анализа посещаемости и улучшения пользовательского опыта;

оценки эффективности рекламных кампаний;

обеспечения информационной безопасности;

предотвращения технических сбоев и злоупотреблений.

14.4. Правовые основания

Использование строго необходимых cookies осуществляется как правило на основании законного интереса Оператора в обеспечении функционирования сайта. Использование аналитических и маркетинговых cookies осуществляется на основании согласия пользователя в тех случаях, когда такое согласие требуется в силу применимого законодательства и фактической конфигурации сайта.

14.5. Управление настройками

Пользователь вправе:

управлять настройками cookies в браузере;

удалить ранее сохраненные cookies;

ограничить использование отдельных категорий cookies через баннер согласия или интерфейс настроек, если он реализован на сайте;

отказаться от некоторых типов аналитических и рекламных инструментов.

Отключение части cookies может повлиять на доступность и корректность отдельных функций сайта.

15. Обработка персональных данных в маркетинговых целях

15.1. Рассылки и рекламные сообщения

Оператор может направлять пользователям информационные и рекламные сообщения по электронной почте, телефону, SMS, в мессенджерах и иными способами, если для этого имеется надлежащее правовое основание.

15.2. Отказ от маркетинговых сообщений

Субъект персональных данных вправе в любой момент отказаться от получения рекламных сообщений:

по ссылке в письме;

путем направления запроса Оператору;

иным доступным способом, указанным в самом сообщении или на сайте.

15.3. Профилирование

В допустимых законом пределах Оператор может использовать ограниченное профилирование и сегментацию для повышения релевантности предложений и оценки интереса к товарам. Такое профилирование не должно приводить к незаконной дискриминации или иным последствиям, нарушающим права субъекта.

16. Права субъектов персональных данных

Роскомнадзор прямо указывает, что субъекты персональных данных вправе, в частности, получать информацию об обработке, отзывать согласие, требовать уточнения, блокирования или уничтожения данных, а также обжаловать действия оператора в Роскомнадзоре или в суде.

16.1. Право на получение информации

Субъект имеет право получить сведения, касающиеся обработки его персональных данных, включая:

факт обработки;

правовые основания;

цели и способы обработки;

состав данных;

источники получения данных;

сроки обработки и хранения;

сведения о лицах, которым могут передаваться данные;

информацию о реализуемых мерах защиты в объеме, не раскрывающем уязвимости и охраняемую информацию.

16.2. Право на доступ

Субъект вправе получить доступ к своим персональным данным в порядке, предусмотренном законом.

16.3. Право на уточнение

Если данные являются неполными, устаревшими, неточными или неактуальными, субъект вправе требовать их уточнения. Закон и официальные разъяснения предусматривают обязанность оператора уточнить данные в установленный срок после получения подтверждающих сведений.

16.4. Право на блокирование и уничтожение

Субъект вправе требовать блокирования или уничтожения персональных данных, если они:

являются незаконно полученными;

не являются необходимыми для заявленной цели обработки;

обрабатываются с нарушением закона;

являются недостоверными.

16.5. Право на отзыв согласия

Субъект вправе отозвать согласие на обработку персональных данных. При этом отзыв согласия не имеет обратной силы и не делает незаконной обработку, осуществленную до его получения. Роскомнадзор отдельно разъясняет, что при наличии иных законных оснований оператор может продолжить обработку и после отзыва согласия.

16.6. Право на ограничение обработки

В случаях, предусмотренных законом, субъект вправе требовать ограничения обработки своих персональных данных.

16.7. Право на переносимость

Если это вытекает из применимого правового режима и характера обработки, субъект может запросить предоставление данных в структурированном виде, когда это технически возможно и не нарушает права третьих лиц.

16.8. Право на обжалование

Субъект вправе обжаловать действия или бездействие Оператора в Роскомнадзоре либо в судебном порядке.

17. Порядок реализации прав субъектов

17.1. Куда направлять запросы

Запросы и обращения по вопросам обработки персональных данных направляются по адресу электронной почты: info@nuky.ru

Контактное лицо по вопросам конфиденциальности и обработки персональных данных: ИП Пенькова Наталья Дмитриевна

17.2. Что должен содержать запрос

Для защиты прав субъекта и предотвращения несанкционированного раскрытия данных Оператор вправе запросить сведения, позволяющие идентифицировать заявителя. Запрос рекомендуется сопровождать:

ФИО;

контактными данными для обратной связи;

описанием сути требования;

указанием ресурса или канала взаимодействия;

при необходимости — документами, подтверждающими изменение данных или полномочия представителя.

17.3. Сроки рассмотрения

Оператор рассматривает запросы субъектов в сроки, установленные законодательством Российской Федерации. В действующей редакции и официальных разъяснениях отражены, в частности, сроки для ответа на запрос субъекта и для отдельных действий по уточнению, блокированию или уничтожению данных.

17.4. Отказ в исполнении запроса

Оператор вправе отказать в удовлетворении запроса полностью или частично, если имеются предусмотренные законом основания, например если доступ к данным ограничен федеральным законом, запрос оформлен ненадлежащим образом либо нарушает права и законные интересы третьих лиц.

18. Меры по защите персональных данных

18.1. Общий подход

Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

18.2. Организационные меры

Оператор, в зависимости от масштаба фактической обработки и используемой инфраструктуры, обеспечивает:

назначение лица, ответственного за организацию обработки персональных данных, когда это требуется или целесообразно; сведения о таком лице в составе уведомления Роскомнадзора являются общедоступными, что прямо указано на портале Роскомнадзора;

принятие локальных актов по вопросам обработки и защиты персональных данных;

разграничение доступа работников и подрядчиков к данным по принципу необходимости знать;

ознакомление работников с требованиями конфиденциальности;

контроль за соблюдением внутренних процедур;

учет машинных носителей и контроль жизненного цикла документов и файлов;

включение в договоры с подрядчиками обязательств по конфиденциальности и безопасности.

18.3. Технические меры

Оператор может применять:

защищенные протоколы передачи данных;

антивирусную защиту;

межсетевое экранирование;

аутентификацию и управление паролями;

журналирование событий;

контроль доступа;

резервное копирование;

средства обнаружения инцидентов;

сегментацию систем и ограничение прав пользователей;

обновление программного обеспечения и устранение уязвимостей;

средства криптографической защиты — при наличии необходимости и правовых оснований.

18.4. Минимизация рисков

Оператор стремится:

не хранить избыточные данные;

не хранить данные дольше необходимого срока;

ограничивать количество лиц, имеющих доступ;

регулярно пересматривать настройки сервисов и подрядчиков;

минимизировать доступ внешних платформ к данным пользователей.

19. Порядок действий при инцидентах и утечках персональных данных

19.1. Общий порядок

При выявлении факта неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным, повлекших нарушение прав субъектов, Оператор действует в соответствии с законом и внутренними регламентами.

19.2. Первоочередные меры

Оператор принимает меры по:

локализации инцидента;

ограничению дальнейшего неправомерного доступа;

оценке характера инцидента и объема затронутых данных;

фиксации обстоятельств инцидента;

организации внутреннего расследования;

устранению причин и последствий.

19.3. Уведомление Роскомнадзора

В соответствии с действующим порядком оператор обязан уведомить Роскомнадзор:

в течение 24 часов — о произошедшем инциденте, предполагаемых причинах, предполагаемом вреде, принятых мерах и контактном лице;

в течение 72 часов — о результатах внутреннего расследования. Это прямо отражено на официальном портале Роскомнадзора.

19.4. Уведомление субъектов

Если это необходимо по закону, по характеру инцидента или исходя из принципов добросовестности и минимизации вреда, Оператор может уведомить затронутых субъектов персональных данных о существенном инциденте и рекомендуемых мерах защиты.

20. Конфиденциальность и доступ к данным

20.1. Режим конфиденциальности

Все лица, получившие доступ к персональным данным в связи с исполнением трудовых, гражданско-правовых или иных обязанностей перед Оператором, обязаны соблюдать конфиденциальность и не раскрывать данные без надлежащего правового основания.

20.2. Внутренний доступ

Доступ к персональным данным предоставляется только тем лицам, для которых такой доступ объективно необходим для исполнения функциональных обязанностей.

20.3. Публичное распространение

Если Оператор когда-либо будет осуществлять распространение персональных данных неопределенному кругу лиц, такая обработка осуществляется только при наличии отдельного законного основания и с учетом требований статьи 10.1 Закона о персональных данных. Роскомнадзор поддерживает отдельный сервис по формированию и согласованию шаблонов согласия на распространение.

21. Особенности обработки данных на сайте и в социальных сетях

21.1. Сайт

На сайте могут осуществляться:

сбор заявок и обращений;

прием заказов или заявок на заказ;

обработка информации о просмотре страниц, товарах и действиях пользователя;

хранение технических данных и cookie;

передача данных в подключенные сервисы доставки, платежей, аналитики и коммуникаций — если это реализовано фактически.

21.2. Социальные сети

При обращении к аккаунтам бренда в социальных сетях пользователь взаимодействует одновременно:

с Оператором — в части обработки обращений, заявок, комментариев и сообщений, адресованных бренду;

с владельцем соответствующей платформы — в части обработки данных самой социальной сетью в соответствии с ее пользовательскими документами.

21.3. Комментарии и пользовательский контент

Если пользователь размещает комментарии, отзывы, сообщения или иные материалы в открытых каналах взаимодействия, он должен учитывать публичный характер такого размещения. Оператор рекомендует не публиковать в открытом доступе избыточные персональные данные.

22. Уведомление Роскомнадзора и комплаенс-обязанности Оператора

22.1. Уведомление о намерении осуществлять обработку

По общему правилу оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку, за исключением ограниченных случаев, перечисленных в части 2 статьи 22 Закона о персональных данных. Это прямо указано в актуальном сервисе Роскомнадзора и в официальных FAQ.

22.2. Форма и подача уведомления

Роскомнадзор указывает, что уведомления подаются по формам, утвержденным приказом Роскомнадзора от 28.10.2022 № 180, в том числе в бумажном виде, в электронном виде с УКЭП либо через ЕСИА.

22.3. Уведомление об изменении сведений и о прекращении обработки

Если меняются сведения, содержащиеся в уведомлении, либо обработка прекращается, Оператор обязан направлять соответствующие уведомления в Роскомнадзор в установленном порядке.

23. Соответствие законодательству Российской Федерации и иным применимым режимам

23.1. Российское законодательство

Оператор исходит из необходимости соблюдения прежде всего законодательства Российской Федерации о персональных данных, включая требования:

о законности обработки;

о публикации политики;

о локальных актах;

о локализации;

о безопасности;

о правах субъектов;

об уведомлении Роскомнадзора;

о трансграничной передаче;

об инцидентах и утечках;

о подтверждении уничтожения данных.

23.2. GDPR, CCPA и иные иностранные режимы

Если Оператор фактически подпадает под действие GDPR, CCPA/CPRA или иного зарубежного закона, он применяет соответствующие дополнительные меры в части информирования, оснований обработки, прав субъектов, международной передачи и реагирования на запросы, но только в той мере, в какой такие нормы действительно обязательны для него с учетом места нахождения пользователей, направленности деятельности и фактических обстоятельств.

23.3. Приоритет более строгого стандарта

Если в конкретной ситуации одновременно применимы несколько режимов регулирования, Оператор стремится руководствоваться тем стандартом, который обеспечивает более высокий уровень защиты прав субъекта, если это не противоречит обязательным нормам российского права.

24. Изменение Политики

24.1. Право на изменение

Оператор вправе вносить изменения в настоящую Политику в любое время, если это требуется:

в связи с изменением законодательства;

в связи с изменением способов и целей обработки;

в связи с внедрением новых сервисов, подрядчиков и технологий;

в связи с корректировкой внутренних бизнес-процессов;

в целях устранения неточностей и повышения прозрачности.

24.2. Способ уведомления

Актуальная редакция Политики размещается на сайте Оператора. При существенных изменениях Оператор вправе дополнительно уведомлять пользователей через сайт, электронную почту, всплывающие уведомления, личный кабинет, мессенджеры или иные доступные каналы.

24.3. Момент вступления в силу

Если иное прямо не указано в новой редакции, изменения вступают в силу с даты их опубликования на сайте Оператора.

25. Рекомендации пользователям по защите своей конфиденциальности

Оператор рекомендует пользователям:

не размещать в открытом доступе избыточные персональные данные;

не направлять через комментарии и публичные сообщения сведения, которые не предназначены для публичного распространения;

использовать надежные пароли и двухфакторную аутентификацию там, где это возможно;

проверять адрес сайта и подлинность каналов связи перед передачей данных;

не сообщать коды подтверждения, реквизиты карты, пароли и иные чувствительные данные неизвестным лицам;

использовать обновленные версии браузеров и операционных систем;

внимательно относиться к настройкам cookies и рекламных согласий;

своевременно обращаться к Оператору с запросом на уточнение или удаление данных, если сведения изменились или более не должны обрабатываться;

учитывать, что взаимодействие с зарубежными платформами и социальными сетями может сопровождаться самостоятельной обработкой данных такими платформами.

26. Контактная информация по вопросам обработки персональных данных

Оператор: ИП Пенькова Наталья Дмитриевна Бренд: N’UKY Электронная почта по вопросам конфиденциальности: info@nuky.ru Контактное лицо: ИП Пенькова Наталья Дмитриевна

27. Заключительные положения

Настоящая Политика подлежит применению ко всем случаям обработки персональных данных, осуществляемой Оператором в рамках деятельности бренда N’UKY, если иное не вытекает из специальных документов, заключенных договоров или требований закона.

Использование сайта, направление обращения, оформление заказа, подписка на рассылку, передача данных через формы обратной связи или взаимодействие с брендом иными способами означает, что пользователь ознакомился с настоящей Политикой в части, применимой к соответствующему способу взаимодействия.

При этом в случаях, когда по закону требуется отдельное согласие на обработку персональных данных, на рекламные коммуникации, на использование отдельных категорий cookie или на распространение персональных данных, такое согласие оформляется отдельно и не заменяется самим фактом ознакомления с настоящей Политикой.