Политика конфиденциальности

Оператор персональных данных

Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных Оператором.

Оператор: Индивидуальный предприниматель Глок Ольга Алексеевна. ИНН: 233302929381. ОГРНИП: 326237500160230. Адрес для корреспонденции: [АДРЕС]. Контактный e-mail: info@shirokov.gallery. Телефон: [ТЕЛЕФОН]. Ответственное за организацию обработки персональных данных лицо: ИП Глок О.А. (info@shirokov.gallery).

Настоящая Политика применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://shirokov.gallery и его субдоменов (далее — «Сайт»).

Категории субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

— покупатели и потенциальные покупатели Товара; — подписчики на email-рассылку (новости, анонсы тиражей); — пользователи, оформившие учётную запись на Сайте; — лица, направившие обращения через форму обратной связи.

Цели обработки, перечень данных и правовые основания

Цель 1. Заключение и исполнение договора купли-продажи (доставка Товара). Данные: ФИО, e-mail, телефон, страна, город, индекс, адрес доставки, сведения о заказе. Основание: п. 5 ч. 1 ст. 6 152-ФЗ (исполнение договора, стороной которого является субъект). Срок: 5 лет с момента исполнения договора (пп. 8 п. 1 ст. 23 НК РФ).

Цель 2. Направление информационных и рекламных рассылок (новости, анонсы тиражей). Данные: e-mail, имя. Основание: п. 1 ч. 1 ст. 6 152-ФЗ (согласие субъекта); ч. 1 ст. 18 ФЗ «О рекламе». Срок: до отзыва согласия, но не более 3 лет с последнего взаимодействия.

Цель 3. Управление учётной записью пользователя. Данные: e-mail, имя, хеш пароля, идентификатор сессии. Основание: п. 1 ч. 1 ст. 6 152-ФЗ (согласие). Срок: до удаления учётной записи пользователем.

Цель 4. Обеспечение безопасности и предотвращение мошенничества. Данные: IP-адрес, User-Agent, временные метки операций. Основание: п. 7 ч. 1 ст. 6 152-ФЗ (законный интерес Оператора). Срок: 6 месяцев.

Цель 5. Обработка обращений через форму обратной связи. Данные: имя, e-mail, тема и текст обращения. Основание: п. 1 ч. 1 ст. 6 152-ФЗ (согласие); ФЗ «О порядке рассмотрения обращений граждан». Срок: 1 год с момента закрытия обращения.

Цель 6. Регистрация интереса к будущим тиражам (waitlist). Данные: e-mail, имя, идентификатор тиража. Основание: п. 1 ч. 1 ст. 6 152-ФЗ (согласие). Срок: до отзыва согласия или закрытия соответствующего тиража.

Платёжные данные (номер карты, CVV/CVC, реквизиты счёта) Оператором не обрабатываются и не хранятся; они вводятся исключительно на защищённых страницах подключённых платёжных провайдеров.

Перечень действий с персональными данными

Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без таковых.

Место нахождения базы данных

В соответствии с ч. 5 ст. 18 152-ФЗ запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации (выделенный сервер, г. Москва).

Первичная фиксация данных, поступающих из форм Сайта, выполняется на серверах сети доставки контента (Vercel Inc.) с последующей немедленной репликацией в основную базу данных, расположенную в Российской Федерации.

Передача третьим лицам

Для обеспечения функционирования Сайта Оператор привлекает следующих третьих лиц, которым передаётся только минимально необходимый объём данных:

— Robokassa (ООО «РОБОКАССА», РФ) — обработка платежей в рублях. Передаются: ФИО, e-mail, сумма, идентификатор заказа. — bxb delivery (для зарубежных покупателей; страна обработки указывается отдельно при подключении сервиса) — обработка международных платежей. Передаются: ФИО, e-mail, сумма, идентификатор заказа. — Resend, Inc. (США) — отправка транзакционных писем (подтверждения заказов, восстановление пароля) и информационных рассылок. Передаются: e-mail, имя, текст письма. — Vercel Inc. (США) — хостинг Сайта и обслуживание серверных функций. Передаются: данные форм в момент отправки (до сохранения в БД РФ), технические сведения (IP, User-Agent). — vdsina.ru (РФ, г. Москва) — хостинг основной базы данных Оператора.

Передача данных транспортной компании (Почта России, СДЭК и др.) осуществляется в объёме ФИО, телефона и адреса доставки исключительно для исполнения договора.

Трансграничная передача персональных данных

Оператор осуществляет трансграничную передачу персональных данных в следующие страны:

— Соединённые Штаты Америки — Resend, Inc. (отправка email) и Vercel Inc. (хостинг).

США не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (Приказ Роскомнадзора № 274 от 05.08.2022 в редакции 2024 года).

Передача осуществляется на основании письменного согласия субъекта персональных данных в порядке ч. 4 ст. 12 152-ФЗ либо в целях исполнения договора, стороной которого является субъект (п. 4 ч. 4 ст. 12 152-ФЗ).

Уведомление о намерении осуществлять трансграничную передачу персональных данных направлено в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в порядке ч. 3 ст. 12 152-ФЗ.

Меры защиты персональных данных

Оператор принимает следующие правовые, организационные и технические меры для защиты персональных данных:

— шифрование передачи данных по протоколу TLS/HTTPS; — шифрование хранения данных в защищённой среде Российской Федерации; — двухфакторная аутентификация для административного доступа (TOTP); — ограничение доступа к данным по принципу минимально необходимых полномочий; — ограничение частоты запросов (rate limiting) для публичных форм; — проверка подписи входящих платёжных уведомлений (HMAC/MD5); — автоматическое освобождение неоплаченных резервов и журналирование статусов заказов; — защита серверов средствами межсетевого экрана и системы обнаружения попыток подбора паролей (fail2ban).

Уведомление об инцидентах

В соответствии с ч. 3.1 ст. 21 152-ФЗ (в редакции Федерального закона от 30.11.2024 № 420-ФЗ), в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор уведомляет Роскомнадзор:

— в течение 24 часов — о произошедшем инциденте, его предполагаемых причинах и предполагаемом вреде; — в течение 72 часов — о результатах внутреннего расследования и принятых мерах.

Субъектам, чьи данные затронуты, направляется уведомление по доступным каналам связи (e-mail).

Сроки хранения и порядок уничтожения

Сроки хранения персональных данных по каждой цели обработки указаны в разделе «Цели обработки». По истечении срока хранения данные подлежат уничтожению.

По требованию субъекта персональных данных Оператор прекращает обработку и уничтожает данные в течение 30 дней с момента получения отзыва согласия, за исключением случаев, когда обработка должна быть продолжена в силу прямого требования законодательства Российской Федерации (например, хранение первичных учётных документов в течение 5 лет — пп. 8 п. 1 ст. 23 НК РФ).

Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ субъект персональных данных имеет право:

— получать сведения об Операторе, о месте его нахождения, о наличии у Оператора своих персональных данных; — требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; — требовать прекращения обработки, в том числе отозвать согласие; — обжаловать действия или бездействие Оператора в уполномоченный орган или в судебном порядке.

Для реализации прав направьте письменное заявление на e-mail info@shirokov.gallery либо по почтовому адресу Оператора.

Уполномоченный орган по защите прав субъектов персональных данных: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2. Телефон: +7 (495) 983-33-93. Сайт: https://rkn.gov.ru/ Форма обращения: https://rkn.gov.ru/treatments/ask-question/

Файлы cookie

Сайт использует только функциональные файлы cookie, необходимые для авторизации и корректной работы сервиса. Cookie не используются для отслеживания, аналитики или рекламы.

Перечень используемых cookie:

— `__Secure-authjs.session-token` (либо `authjs.session-token` в среде разработки) — идентификатор сессии аутентификации; срок действия 30 дней; устанавливается при входе в учётную запись; — `twofa-passed` — подтверждение прохождения двухфакторной аутентификации администратором; срок действия 8 часов; — технические служебные cookie фреймворка Next.js — без хранения персональных данных, срок действия — сессия браузера.

Обработка данных несовершеннолетних

Оператор не осуществляет целенаправленную обработку персональных данных несовершеннолетних в возрасте до 14 лет.

Лица в возрасте от 14 до 18 лет вправе совершать покупки только с письменного согласия законных представителей. Если Оператору станет известно о получении данных ребёнка в возрасте до 14 лет без согласия законного представителя, такие данные подлежат немедленному удалению.

Согласие на обработку персональных данных

Обработка персональных данных, не подпадающих под основания ч. 1 ст. 6 152-ФЗ, осуществляется только с предварительного согласия субъекта.

Форма и содержание согласия размещены отдельным документом по адресу: https://shirokov.gallery/consent.

Согласие может быть отозвано в любой момент способами, указанными в разделе «Сроки хранения и порядок уничтожения».

Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда размещается по адресу https://shirokov.gallery/privacy. При существенных изменениях Оператор уведомляет пользователей по электронной почте либо размещает уведомление на главной странице Сайта.

Текущая редакция: от 25 апреля 2026 года, версия 2.0.