ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ РОМАНОВОЙ ИРИНЫ НИКОЛАЕВНЫ


ред. от 01 декабря 2025 года

1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее - Политика) определяет порядок, способы, цели, условия, объем, процедуры и организацию обработки персональных данных (далее - ПД), осуществляемой индивидуальным предпринимателем РОМАНОВОЙ ИРИНОЙ НИКОЛАЕВНОЙ (ИНН 380416097802, ОГРНИП 323385000039953, юридический адрес: 665724, Иркутская обл., г. Братск, ул. Рябикова д.8 кв.13) (далее - Оператор).
1.2. Политика разработана в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», Постановлением Правительства РФ № 1119, иными нормативными правовыми актами РФ.
1.3. Политика обязательна для исполнения работниками Оператора и любыми иными лицами, получившими доступ к ПД.

2. Основные термины
2.1. Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Субъект персональных данных - физическое лицо, чьи персональные данные обрабатываются Оператором (клиент, покупатель, сотрудник, подрядчик, представитель контрагента, пользователь интернет-сайта).
2.3. Оператор - индивидуальный предприниматель Романова Ирина Николаевн, осуществляющий обработку персональных данных.
2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными (с использованием средств автоматизации или без них), включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, распространение, обезличивание, блокирование, удаление и уничтожение.
2.5. Информационная система персональных данных (ИСПДн) - совокупность персональных данных, содержащихся в базах данных, а также технологий и технических средств, обеспечивающих их обработку.
2.6. Автоматизированная обработка ПД - обработка ПД с помощью средств вычислительной техники.
2.7. Неавтоматизированная обработка ПД - обработка ПД без использования средств вычислительной техники.
2.8. Доступ к персональным данным - получение права ознакомления с персональными данными, их обработки, изменения или удаления.
2.9. Блокирование персональных данных - временное прекращение обработки персональных данных, за исключением случаев, если обработка необходима для уточнения персональных данных.
2.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных.
2.11. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.

3. Принципы обработки персональных данных
3.1. Персональные данные обрабатываются Оператором исходя из следующих принципов:
  • законность и справедливость получения и дальнейшей обработки персональных данных;
  • ограничение обработки достижением конкретных, заранее определённых и законных целей;
  • недопущение объединения баз, обработка которых осуществляется в целях, несовместимых между собой;
  • соответствие объёма и характера обрабатываемых персональных данных заявленным целям обработки;
  • обеспечение точности, достаточности, актуальности персональных данных, уничтожение или обезличивание их по достижении целей;
  • хранение персональных данных в виде, позволяющем определить субъекта, не дольше, чем этого требуют цели обработки;
  • обеспечение безопасности персональных данных и принятие всех необходимых организационных и технических мер;
  • конфиденциальность, запрет на несанкционированный доступ и незаконное распространение.
3.2. Работники Оператора и лица, допущенные к работе с персональными данными, обязаны:
  • соблюдать положения настоящей Политики, внутренних регламентов, требований законодательства;
  • проходить обязательное обучение и инструктаж по обработке персональных данных и мерам информационной безопасности;
  • подтверждать ознакомление под роспись с требованиями ФЗ № 152-ФЗ и подзаконных актов.
4. Цели, категории субъектов персональных данных и состав персональных данных по категориям субъектов
4.1. Цели, категории субъектов персональных данных и состав персональных данных по категориям субъектов определены в следующей таблице:

Цель обработки ПД

Категория субъектов ПД

Обрабатываемые ПД

Заключение, исполнение и расторжение договоров купли-продажи и иных договоров для осуществления финансово-хозяйственной деятельности

Клиенты/Покупатели

Фамилия, имя, отчество, номер контактного телефона, e-mail, адрес доставки, индекс, город, улица, прочие адресные данные, идентификатор лица на сайте, сведения о содержании заказа, история заказов, обращения, информация о возвратах.

Подрядчики/Контрагенты

Фамилия, имя, отчество, наименование организации, паспортные данные, ИНН, СНИЛС, адрес регистрации, номер контактного телефона, e-mail, банковские реквизиты.

Регистрация пользователей, предоставление доступа к функционалу сайта (http://oh-aroma.ru/) и сервисов, учёт и идентификация клиентов

Клиенты/Покупатели

Фамилия, имя, отчество, email, логин, пароль, адрес проживания и доставки, номер контактного телефона, история обращений, согласия

Осуществление обратной связи, поддержки, информирования о статусе заказа, выполнении обязанностей по возврату и сервисному обслуживанию

Клиенты/Покупатели

Фамилия, имя, отчество, e-mail, номер контактного телефона, сведения по заказу, сообщения, обращения, комментарии, отзывы.

Осуществление рассылок (информационных, сервисных, рекламных) при условии согласия субъекта

Клиенты/Покупатели

Фамилия, имя, отчество, e-mail, номер контактного телефона, информация о мессенджере/аккаунте - при активации соответствующей рассылки, история подписки (дата акцепта, дата отписки, количество и тип направленных сообщений.



Осуществление бухгалтерского, налогового учета и отчетности, а также кадрового учета

Подбор претендентов на замещение вакантных должностей

Соискатели

Фамилия, имя, отчество, дата рождения, паспортные данные, адрес регистрации, контактный телефон, e-mail, СНИЛС, ИНН, сведения о трудовой деятельности, выплаты.


Формирование и предоставление отчетности, включая уплату налогов и взносов

Контрагенты/Работники

Фамилия, имя, отчество, паспортные данные, СНИЛС, ИНН, адрес регистрации, контактный телефон, e-mail, дата рождения, иные персональные данные, необходимые для достижения цели.


Проведение обязательного аудита бухгалтерской (финансовой) отчетности

Контрагенты/Работники

Фамилия, имя, отчество, паспортные данные, СНИЛС, ИНН, адрес регистрации, контактный телефон, e-mail, дата рождения, должность и место работы, иные персональные данные, необходимые для достижения цели.


Ведение кадрового учета (хранение трудовых книжек, вынесение приказов, должностных инструкций, графиков работы и др.)

Работники

Фамилия, имя, отчество, паспортные данные, СНИЛС, ИНН, адрес регистрации, контактный телефон, e-mail, дата рождения, должность и место работы, иные персональные данные, необходимые для достижения цели.


Исполнение обязанностей, возложенных на Компанию в связи с правом уполномоченных органов получать запрашиваемую информацию от Компании

Представители уполномоченных органов

Фамилия, имя, отчество, должность и звание, место работы, контактные данные.

Анализ пользовательского поведения, совершенствование работы сайта, выявление инцидентов, оптимизация интерфейса, защита ресурсов от несанкционированного доступа.

Посетители сайта/Клиенты/Покупатели

Сведения об использования сервисов, действия на сайте, cookie.



4.2. Обработка специальных, биометрических, медицинских данных не осуществляется.
4.3. Объем и состав ПД минимизирован в соответствии с целями.
5. Получение, хранение, учет, исправление, удаление, уничтожение персональных данных

5.1. Получение данных
  • ПД клиентов собираются на сайтах http://oh-aroma.ru/ и  через pop-up формы, при регистрации пользователя, оформлении заказа, заполнении профиля, обратной связи на сайте, через сервисы Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46) и чат-ботах.
  • Для подтверждения согласия Субъект ставит «галочку» в всплывающем окне и (или) в соответствующем поле на сайтах;
  • Персональные данные контрагентов, соискателей, работников собираются в целях, указанных в п. 4.1., для заключения и исполнения трудовых, гражданско-правовых договоров, соглашений о неразглашении как лично Оператором при подписании соответствующих договоров и соглашений, так и по email Оператора.
5.2. Хранение данных
  • Все электронные данные хранятся исключительно на серверах, расположенных на территории РФ:
  • сайт http://oh-aroma.ru/
  • Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46);
  • Все заносимые в электронные таблицы (у сотрудников) данные защищаются паролями, права доступа ограничены, регулярные обновления паролей являются обязательными.
  • Бумажные документы (трудовые договоры, кадровые документы, договоры гражданско-правового характера) хранятся в отдельных сейфах (шкафах) с контролируемым доступом. Хранение в отношении бухгалтерских и налоговых документов ведется в течение 5 лет, кадровых документов – 75 лет.
  • Отчёт и журнал учета ведется назначенным Оператором лицом, ответственным за организацию и обеспечение безопасности ПД.
5.3. Учет, исправление и удаление
  • Исправление или обновление ПД осуществляется по письменному либо электронному заявлению субъекта в течение 10 календарных дней с момента обращения.
  • В случае необходимости удаления ПД (по отзыву согласия, истечении срока, выполнении договора), данные удаляются из:
  • электронных сервисов рассылок Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46);
  • внутренних учетных систем сайта (личный кабинет, CRM, журнал заказов);
  • таблиц для сотрудников, подрядчиков.
  • Результаты удаления фиксируются в специальном электронном журнале или акте, подтверждение предоставляется заявителю по письменному запросу.
5.4. Уничтожение и обезличивание
  • По истечении срока хранения, либо по требованию законодательства или клиента, выполняется уничтожение электронных данных (тотально – средствами информационной системы, согласно протоколу), бумажных документов (шредер, уничтожение формуляров).
  • Акт уничтожения подписывает ответственное лицо, хранится не менее 3 лет.
  • При необходимости выполняется обезличивание личных данных (удаление привязки к конкретному субъекту), в статистике используется только не персонифицированная информация.
5.5. Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты info@oh-aroma.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
6. Используемые сервисы, технологии, местонахождение серверов
6.1. Оператор использует только сервисы, дата-центры и облачные решения, физически и юридически находящиеся на территории РФ:
  • http://oh-aroma.ru/
  • Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46)
  • Все рассылки, аналитика, учет заказов, CRM интегрированы только с использованием российских IT и коммуникационных площадок;
  • Все сервисы доставки (Яндекс.Доставка (ООО «Яндекс.Доставка», 123112, г. Москва, вн. тер. г. муниципальный округ Пресненский, проезд 1-й Красногвардейский, д. 22, стр. 1, этаж 13, помещ. 13-40), Почта России (АО «Почта России», 125252, г. Москва, ул. 3-я Песчаная, д. 2А, СДЭК (ООО «СДЭК-ГЛОБАЛ», 630007, г. Новосибирск, ул. Кривощековская, д. 15, корп. 1, этаж 1, 2), 5post (ООО "ФАЙВ ПОСТ", 109029, г. Москва, ул. Средняя Калитниковская, дом 28 ст. 4) обрабатывают и хранят сведения только на российских серверах.
7. Третьи лица, порядок передачи и допуска
7.1. Передача или допуск к ПД возможна:
  • работникам Оператора;
  • подрядчикам по договорам, только с обязательствами по соглашениям о неразглашении персональных данных и соблюдению ФЗ № 152-ФЗ;
  • службам доставки (Яндекс.Доставка (ООО «Яндекс.Доставка», 123112, г. Москва, вн. тер. г. муниципальный округ Пресненский, проезд 1-й Красногвардейский, д. 22, стр. 1, этаж 13, помещ. 13-40), Почта России (АО «Почта России», 125252, г. Москва, ул. 3-я Песчаная, д. 2А, СДЭК (ООО «СДЭК-ГЛОБАЛ», 630007, г. Новосибирск, ул. Кривощековская, д. 15, корп. 1, этаж 1, 2), 5post (ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ФАЙВ ПОСТ", 109029, г. Москва, ул. Средняя Калитниковская, дом 28 ст. 4), - ограниченно, исключительно сведения, необходимые для отправки и контроля заказа (Фамилия, имя, отчество, контактный телефон, e-mail, адрес доставки).
  • государственным органам – только по официальному запросу в объеме, ограниченном действующим законодательством;
  • подрядчикам в сфере рекламы и маркетинга - ограниченно, только для осуществления рекламно-информационной рассылки в соответствии с согласием Субъекта;
  • иным лицам – лишь при наличии согласия Субъекта.
7.2. Все передачи фиксируются, ведётся журнал обмена, с каждым подрядчиком и сотрудником достигнуто соглашение о неразглашении персональных данных.
8. Обеспечение безопасности ПД, меры по минимизации рисков
8.1. Оператор реализует комплекс мер в соответствии с ФЗ №152-ФЗ, ПП РФ №1119 и иными подзаконными актами:
  • Назначен ответственный за организацию и обеспечение безопасности ПД;
  • Внутренние положения, регламенты, порядок допуска и разграничения прав доступа утверждены локальными актами Оператора;
  • Журналы учета доступа, регистрации операций, фиксации действий сотрудников ведутся постоянно; доступ предоставляется минимально необходимому кругу лиц (принцип минимизации доступа);
  • Физическая защита: бумажные носители – отдельные помещения/сейфы, доступ к ним только у уполномоченных лиц;
  • Технические меры: антивирусная защита, брандмауэры, фаерволлы, регулярное обновление программ, защищенные каналы связи (HTTPS, сквозное шифрование для облака);
  • Хранение резервных копий на отдельном устройстве с паролем;
  • Ведение аудита, логирование всех ключевых операций, контроль за несанкционированным доступом, регулярная сверка журналов, анализ попыток несанкционированной обработки;
  • Работники проходят обучение и вторичный инструктаж (не реже одного раза в год), подтверждают ознакомление с ФЗ №152-ФЗ, внутренними нормативными актами под роспись;
  • Оценка вреда субъектам при возможных инцидентах, пересмотр рисковых зон, корректировка мер и регламентов по итогам инцидентов и предписаний регулятора.
8.2. К внутреннему контролю и мониторингу процесса допускаются только назначенные лица, ответственные за организацию и обеспечение безопасности ПД.
9. Файлы cookie, информационные и аналитические системы
9.1. Сайт Оператора использует только необходимые файлы cookie и технические средства идентификации (далее – cookie-файлы), предназначенные для функционирования сайта, аналитики посещаемости, поддержки сервисной и пользовательской функциональности и обеспечения безопасности пользовательских сессий.
9.2. Обработка cookie-файлов осуществляется в строгом соответствии с ФЗ №152-ФЗ, с учетом принципа минимизации данных. Каждое сохранение и дальнейшее использование cookie основано на цели обеспечения работы сайта, безопасности и анализа поведения пользователей.
9.3. Категории используемых cookie-файлов:
  • Технические (системные) cookie: session_id, user_auth, необходимые для авторизации, работы корзины, функционала регистрации/входа пользователя, контроля сессии. Они позволяют сохранять индивидуальные предпочтения пользователя, удерживать сессию, обеспечивать корректную работу интерфейса.
  • Аналитические cookie: ya_counter, yandexuid (Яндекс.Метрика). Используются для ведения обезличенной статистики посещений, анализа навигационных и поведенческих метрик на сайте, используются в агрегированной форме для оптимизации работы интерфейса.
  • Функциональные cookie: cookie локальных настроек, позволяющие сохранять выбранные пользователем параметры сайта (язык, предпочтения оформления, фильтры).
9.4. Все cookie-файлы и аналогичные идентификаторы технических сессий хранятся исключительно на оборудовании, физически и юридически расположенном на территории Российской Федерации:
  • Сервер — http://oh-aroma.ru/
  • Яндекс.Метрика (ООО «Яндекс», 119021, г. Москва, ул. Льва Толстого, 16);
  • CRM и рассылки — Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46)
  • Все ведомственные и иные системы доставки используют только серверы, зарегистрированные в России.
9.5. Сбор и запись cookie-файлов осуществляется только в объеме, необходимом для работоспособности функций сайта, сервисного обслуживания, предотвращения несанкционированного доступа, статистики посещаемости, пользовательской настройки и обратной связи.
9.6. Cookie-файлы, используемые на сайте, не передаются третьим лицам для самостоятельных целей, не используются для создания профилей в сторонних рекламных сетях, не являются основанием для автоматизированного принятия решений, затрагивающих права и интересы пользователя, не экспортируются за пределы инфраструктуры Российской Федерации.
9.7. Каждое посещение сайта сопровождается обязательным информированием пользователя о применении cookie через всплывающее уведомление/баннер, с предложением принять условия использования файлов cookie, ознакомиться с политикой или отказаться (реализуется надпись, ссылка, кнопки «Согласен», «Настройки», «Подробнее/Отказаться» на сайте). Пользователь вправе отказаться от условий использования файлов cookie, нажав на кнопку «Отказаться».
9.8. Пользователь вправе в любой момент отозвать согласие на обработку cookie-файлов путем:
  • использования доступных настроек браузера (блокировка, полное удаление всех файлов cookie, ограничение их сохранения), выбора опции «Отказаться» или «Изменить настройки» в cookie-баннере, направления официального обращения по e-mail info@oh-aroma.ru Оператора либо через форму обратной связи сайта.
9.9. Оператор обязан информировать пользователя о возможных последствиях отказа (например, ограничение доступа к отдельным сервисам, невозможность оформления заказа или настройки профиля) при деактивации cookie-файлов.
9.10. Срок хранения cookie определяется их категорией и не превышает срок, необходимый для достижения целей их обработки или исполнения соглашения с пользователем, но во всех случаях не превышает 24 месяцев.
9.11. Вся обработка профильных cookie, аналитических и технических идентификаторов осуществляется с соблюдением принципов конфиденциальности, целостности и минимизации данных, ни одна из этих метрик не используется для целей прямого маркетинга третьих лиц.
9.12. Оператор принимает все необходимые технические и организационные меры для защиты информации и cookie-файлов от несанкционированного доступа, случайной потери, уничтожения, модификации, блокирования и распространения, реализует механизмы аутентификации, сегментирования инфраструктуры, регулярного юридического аудита, обновления технических средств.
9.13. Все вопросы по обработке cookie-файлов, в том числе разъяснения по их составу и назначению, реализуются через e-mail info@oh-aroma.ru, либо по почтовому адресу Оператора. Ответ на обращение предоставляется не позднее 10 календарных дней.

10. Сроки хранения, удаления, архивации, блокировки и уничтожения ПД
10.1. Сроки хранения ПД определяются в соответствии с целями, требованиями законодательства и условиями договоров:
  • бухгалтерские и налоговые документы – в течение 5 лет, кадровые документы – до 75 лет;
  • текущие заказы, обращения, за исключением архивных – в течение 3 лет с момента исполнения всех обязательств;
  • данные рассылок – не более 3 лет.
10.2. Данные, утратившие актуальность или более не нужные для достижения целей обработки, удаляются из информационных систем; уничтожение фиксируется актом.
10.3. Блокировка – по заявлению, на срок проведения проверки по факту обнаружения ошибки, жалобы или иного события, после чего данные либо уточняются, либо удаляются.

11. Права субъектов и порядок реализации
11.1. Субъект ПД имеет право:
  • получать сведения о факте, целях и способах обработки своих ПД;
  • требовать уточнения, удаления или блокировки своих ПД при наличии оснований, предусмотренных законом;
  • отзывать в любой момент согласие на обработку;
  • требовать уведомления о действиях (уничтожении, блокировке, передаче);
  • получать мотивированный ответ в течение 10 календарных дней с даты поступления обращения;
  • обжаловать действия или бездействие Оператора в Роскомнадзор либо в судебном порядке.
11.2. Ответ предоставляется в срок, установленный законом, в течение 10 календарных дней.

12. Действия при инциденте
  • Фиксация и локализация события, регистрация в отдельном журнале инцидентов.
  • Информирование руководителя и ответственного за безопасность ПД с немедленным определением круга затронутых лиц и объема скомпрометированной информации.
  • Оценка возможности идентификации/масштаба утечки - фильтрация объектов (какие данные, сколько субъектов затронуто), выявление источника, анализ первопричины, получение объяснений, опрос допущенных лиц.
  • В случаях, предусмотренных законом, уведомление субъектов, чьи данные стали доступны или могли быть доступны третьим лицам, в течение 24 часов с момента выявления; уведомление Роскомнадзора по форме - не позднее 24 часов.
  • Формирование комиссии для разборки инцидента, выработка и реализация мер по минимизации ущерба (блокирование доступа, устранение уязвимости, внесение изменений в регламенты, повышенное обучение сотрудников).
  • Документирование каждого действия по внутреннему расследованию, регламенту реагирования, меры ответственности для виновных, пересмотр внутренней документации.
13. Актуализация политики
13.1. Пересмотр и обновление Политики проводится:
  • при изменении законодательства, технологии обработки, изменениях в инфраструктуре сайта или сервисов;
  • при появлении новых угроз безопасности или предписаний регуляторов;
  • при выявлении несоответствий, инцидентов, жалоб.
13.2. Новая редакция Политики публикуется на официальных ресурсах Оператора и вступает в силу с даты размещения, если не установлено иное.

14. Контактные данные

ИП РОМАНОВА ИРИНА НИКОЛАЕВНА

ИНН 380416097802

ОГРНИП 323385000039953

Юридический адрес: 665724, Иркутская обл., г. Братск, ул. Рябикова д.8 кв.13