8. Звонки и сообщения по заявке8.1. Допустимые способы связиДля обработки конкретной заявки Оператор вправе:
- позвонить;
- направить сервисное SMS;
- написать на указанный email;
- использовать выбранный заявителем или самостоятельно инициированный им канал связи;
- уточнить удобное время;
- продолжить начатый заявителем диалог.
8.2. Повторные попыткиЕсли заявитель не ответил, Оператор вправе совершить разумное количество повторных попыток связи в течение 30 календарных дней после направления заявки.
Связь прекращается раньше, если:
- заявитель потребовал прекратить обращения;
- владелец номера сообщил, что заявку не оставлял;
- номер оказался ошибочным;
- цель обращения утратила актуальность;
- отсутствуют основания для продолжения обработки.
8.3. Идентификация обращенияПервое сообщение или начало разговора должно позволять понять:
- что обращается цветочный салон «Радуга цветов»;
- что контакт связан с ранее направленной заявкой или заказом;
- как прекратить дальнейшее общение.
Не следует раскрывать подробности заказа третьему лицу до разумной проверки того, что связь установлена с надлежащим заявителем или получателем.
8.4. Отделение сервисной связи от рекламыСообщение о наличии цветов, стоимости, времени изготовления, доставке или другом вопросе конкретной заявки является сервисным.
Предложение несвязанной акции, скидки, нового букета или повторной покупки после завершения обращения считается рекламным и требует отдельного согласия.
9. Лица, имеющие доступ к данным9.1. Уполномоченные лица ОператораДоступ могут получать:
- ИП Баркова Ирина Сергеевна;
- флористы;
- сотрудники, принимающие и сопровождающие заказы;
- лица, обеспечивающие доставку;
- технические специалисты, которым доступ объективно необходим.
Такие лица обязаны соблюдать конфиденциальность и использовать сведения только в рамках порученных задач.
9.2. Обработка по поручениюДля работы Сайта и заявок Оператор может поручать обработку:
- АО «Тильда Паблишинг», предоставляющему российскую версию платформы Tilda, при условии использования российского профиля;
- инфраструктурным поставщикам, привлекаемым платформой Tilda в соответствии с её условиями;
- сервису электронной почты Mail.ru;
- операторам связи;
- исполнителям технической поддержки Сайта;
- службам доставки или курьерам;
- ООО «ЯНДЕКС» — при подключении Яндекс Метрики и наличии требуемого согласия;
- иным исполнителям, привлечение которых объективно необходимо для конкретной цели.
Поручение должно определять:
- цели обработки;
- перечень данных;
- допустимые действия;
- требования конфиденциальности;
- требования безопасности;
- порядок уведомления об инцидентах;
- порядок удаления или возврата данных.
9.3. Объём передачиКаждому получателю предоставляется только тот объём данных, который необходим для выполнения соответствующей задачи.
Например, курьеру не должны передаваться комментарии о бюджете, история общения или иные сведения, не необходимые для доставки.
9.4. Государственные органыДанные предоставляются государственным органам и судам только при наличии предусмотренного законом основания и в пределах законно предъявленного требования.
9.5. ОтветственностьПривлечение другого лица к обработке не освобождает Оператора от ответственности перед субъектом персональных данных.
10. Локализация и трансграничная передача10.1. Первичная запись в Российской ФедерацииПри сборе персональных данных граждан Российской Федерации посредством интернета Оператор обеспечивает первичную запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории Российской Федерации.
Для этого профиль Tilda, используемый Оператором, должен иметь страну профиля «Россия», а подключаемые сервисы должны быть проверены на соблюдение требований локализации.
10.2. Трансграничная передачаОператор не осуществляет целенаправленную трансграничную передачу содержимого заявок в рамках стандартной формы Сайта.
До подключения иностранного сервиса, способного получать персональные данные, Оператор:
- определяет страну и получателя;
- проверяет правовое основание;
- оценивает меры защиты;
- выполняет требования о предварительном уведомлении Роскомнадзора, когда это необходимо;
- обновляет Политику и согласие;
- при необходимости получает дополнительное согласие.
Подключение иностранного пикселя, CRM, облачной таблицы, чат-виджета или мессенджера без такой проверки не допускается.
11. Cookie, Яндекс Директ и Яндекс Метрика11.1. Необходимые cookieСайт может использовать технически необходимые cookie для:
- загрузки страниц;
- работы форм;
- защиты от автоматических отправок;
- сохранения технических настроек;
- обеспечения безопасности.
Отключение необходимых cookie может привести к невозможности корректно отправить форму.
11.2. Аналитические cookieСтатистические и аналитические cookie используются только после активного согласия посетителя, полученного через отдельный баннер.
До такого согласия необязательные аналитические скрипты не должны загружаться.
В баннере должны быть равнозначно доступны как минимум два варианта:
- разрешить аналитику;
- использовать только необходимые cookie.
11.3. Яндекс МетрикаЕсли на Сайте подключена Яндекс Метрика, с её помощью могут обрабатываться:
- технический идентификатор браузера;
- IP-адрес;
- общие сведения об устройстве;
- источник и рекламная кампания перехода;
- посещённые страницы;
- длительность посещения;
- действия на странице;
- факт достижения настроенной цели.
Оператор не должен намеренно передавать в Яндекс Метрику:
- имя;
- номер телефона;
- email;
- содержание комментария;
- адрес доставки;
- иные сведения из полей формы в открытом виде.
Перед подключением необходимо проверить настройки автоматических целей, Вебвизора, электронной коммерции, передачи параметров посетителя и других функций.
11.4. Яндекс ДиректПереход с объявления Яндекс Директа может сопровождаться UTM-метками и идентификаторами рекламной кампании.
Они используются для определения источника заявки и оценки эффективности рекламы.
Сам факт перехода по объявлению не является согласием на рекламные звонки, рассылки или использование сведений из формы в иных маркетинговых целях.
11.5. Изменение выбораПосетитель может изменить выбор через предусмотренный на Сайте механизм, удалить cookie в браузере или ограничить их сохранение.
Отзыв согласия не влияет на законность обработки, произведённой до отзыва.
12. Сроки хранения и уничтожение12.1. Необработанная заявкаЕсли связаться с заявителем не удалось, заявка хранится не более 30 календарных дней с даты отправки.
12.2. Консультация без заказаЕсли общение состоялось, но заказ не был оформлен, данные хранятся не более 90 календарных дней с момента последнего взаимодействия, если:
- отсутствует претензия;
- отсутствует спор;
- заявитель не попросил продолжить общение позднее;
- отсутствует другое законное основание для хранения.
12.3. Оформленный заказДанные, необходимые для исполнения договора, налогового и бухгалтерского учёта, рассмотрения требований покупателя и защиты прав сторон, хранятся в течение сроков, предусмотренных применимым законодательством.
После прекращения соответствующего основания избыточные сведения удаляются.
12.4. Доказательства согласияОграниченные технические сведения, подтверждающие получение согласия, могут храниться в течение трёх лет после прекращения основной обработки.
Если до истечения этого срока возник спор, проверка или судебное разбирательство, сведения могут храниться до окончательного разрешения вопроса и истечения применимых сроков обжалования.
12.5. Претензии и обращенияДокументы по обращению, претензии или спору хранятся в течение срока, необходимого для их рассмотрения и защиты прав, а после завершения — в пределах применимого срока исковой давности, если иное не установлено законом.
12.6. Хранение на TildaВ разделе заявок Tilda устанавливается срок хранения не более 30 календарных дней либо отключается хранение, если заявка надёжно поступает в используемую Оператором защищённую систему.
Не допускается бессрочно сохранять заявки только «на всякий случай».
12.7. Резервные копииЕсли данные попали в резервную копию, они прекращают использоваться для текущей работы и удаляются при плановой перезаписи резервной копии, но не позднее срока, установленного внутренним регламентом Оператора.
12.8. Ошибочный номерЕсли владелец номера сообщает, что заявку не оставлял:
- дальнейшие звонки и сообщения прекращаются;
- заявка блокируется на период проверки;
- сведения удаляются при отсутствии законного основания;
- может быть сохранён минимальный служебный документ о поступившем требовании и его исполнении для защиты прав и предотвращения повторного обращения.
Такой документ не используется для рекламы.
12.9. Подтверждение уничтоженияУничтожение оформляется в порядке, позволяющем подтвердить:
- какие категории данных уничтожены;
- на каком основании;
- когда;
- каким способом;
- кем выполнено действие.
В зависимости от способа обработки оформляется акт об уничтожении и/или выгрузка из журнала регистрации событий в информационной системе.
13. Права субъекта персональных данныхСубъект вправе:
- получить подтверждение факта обработки;
- узнать цели и правовые основания;
- узнать перечень обрабатываемых данных;
- получить сведения об источнике их получения;
- узнать способы и сроки обработки;
- узнать лиц, которым данные предоставляются или могут быть предоставлены;
- потребовать уточнения неточных или неактуальных данных;
- потребовать блокирования неправомерно обрабатываемых данных;
- потребовать удаления данных, которые незаконно получены или не нужны для заявленной цели;
- отозвать согласие;
- потребовать прекращения обработки, когда это предусмотрено законом;
- возражать против рекламного использования;
- обжаловать действия или бездействие Оператора в Роскомнадзор или суд;
- требовать возмещения убытков и компенсации морального вреда при наличии установленных законом оснований.
14. Порядок направления обращений14.1. Способы направленияОбращение можно направить:
по электронной почте:
irusik-1989@mail.ruили письменно по юридическому адресу:
140016, Московская область, г. Люберцы, мкр. Зенино ЖК Самолёт, ул. Камова, д. 7, корп. 2, кв. 2014.2. Содержание обращенияДля поиска соответствующих данных рекомендуется указать:
- имя;
- номер телефона или email, использованный при обращении;
- примерную дату заявки;
- содержание требования;
- предпочтительный способ получения ответа.
Не следует направлять копию паспорта, если она не была отдельно и обоснованно запрошена Оператором.
14.3. Проверка принадлежности обращенияОператор вправе запросить сведения, объективно необходимые для проверки того, что требование относится к данным заявителя.
Проверка должна быть соразмерной и не должна приводить к сбору избыточных данных.
14.4. Срок ответаИнформация предоставляется в течение 10 рабочих дней с даты получения надлежащего запроса.
При наличии предусмотренных законом оснований срок может быть продлён не более чем на пять рабочих дней с направлением мотивированного уведомления.
Неточные сведения уточняются, а незаконно полученные или ненужные данные уничтожаются в сроки, установленные законодательством.
15. Меры защитыОператор применяет с учётом характера и объёма обработки, в частности:
- ограничение перечня собираемых данных;
- назначение лиц, имеющих доступ;
- разграничение прав доступа;
- индивидуальные учётные записи;
- сложные уникальные пароли;
- двухфакторную аутентификацию там, где она доступна;
- запрет передачи паролей между сотрудниками;
- блокировку рабочих устройств;
- обновление операционных систем и программ;
- антивирусную защиту;
- защиту электронной почты и аккаунта Tilda;
- проверку подключённых интеграций;
- резервное копирование только в необходимом объёме;
- учёт сроков хранения;
- регулярное удаление ненужных заявок;
- обязательства о конфиденциальности;
- обучение лиц, имеющих доступ;
- контроль соблюдения настоящей Политики;
- внутренний порядок реагирования на инциденты;
- документирование уничтожения;
- проверку договоров с обработчиками.
Персональные данные не должны храниться:
- в общедоступных таблицах;
- в незащищённых заметках;
- на личных устройствах посторонних лиц;
- в чатах, доступных сотрудникам, которым сведения не нужны;
- в открытых ссылках на облачные файлы;
- на бумажных носителях без ограничения доступа.
16. Инциденты безопасности16.1. Действия при обнаружении инцидентаПри обнаружении неправомерного доступа, утраты или передачи данных Оператор:
- ограничивает дальнейший доступ;
- сохраняет технические сведения и доказательства;
- устанавливает затронутые категории данных и субъектов;
- оценивает возможный вред;
- принимает меры по устранению причин;
- документирует обстоятельства;
- исполняет обязанности по уведомлению государственных органов;
- при наличии оснований уведомляет затронутых лиц.
16.2. Уведомление РоскомнадзораЕсли неправомерная или случайная передача, предоставление, распространение либо доступ повлекли нарушение прав субъектов, Оператор направляет первоначальное уведомление Роскомнадзору в установленный законом срок и дополнительную информацию по итогам внутреннего расследования.
16.3. Обязанности обработчиковЛица, обрабатывающие данные по поручению Оператора, должны незамедлительно сообщать Оператору о признаках инцидента и предоставлять необходимую информацию для выполнения его обязанностей.
17. Заключительные положения17.1. Изменение ПолитикиПолитика может изменяться при:
- изменении законодательства;
- изменении реквизитов Оператора;
- изменении состава форм;
- подключении новых сервисов;
- подключении аналитики или рекламных технологий;
- изменении порядка доставки, оплаты или хранения;
- изменении состава лиц, обрабатывающих данные.
17.2. Вступление новой редакции в силуНовая редакция вступает в силу с даты её публикации, если в ней не указан более поздний срок.
Продолжение использования Сайта не заменяет нового согласия, если изменение обработки требует его получения.
17.3. Архив редакцийОператор хранит предыдущие редакции Политики и согласия вместе со сведениями о сроках их действия, чтобы определить, какие условия применялись к конкретной заявке.
17.4. ДоступностьАктуальная редакция размещается по адресу:
https://bytikraduga.tilda.ws/privacyа после подключения основного домена:
https://bytikraduga.ru/privacyСсылка на Политику размещается в подвале Сайта и непосредственно возле каждой формы, собирающей персональные данные.