Политика обработки персональных данных
Версия от 24 мая 2026 г.
1. Общие положения. Настоящая Политика обработки персональных данных (далее – «Политика») составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») и определяет порядок обработки персональных данных, а также меры по обеспечению безопасности персональных данных, предпринимаемые ИП Бабалян Тигран Эдисонович, ОГРНИП 325774600084072, ИНН 772700415417 (далее – «Оператор»).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая Политика применяется ко всей информации, которую Оператор может получить о посетителях веб-сайтов arepoco.com и arepoco.ru (далее – «Сайт»). Ответственным за организацию обработки персональных данных в соответствии со статьёй 22.1 Закона о персональных данных является Бабалян Тигран Эдисонович.
2. Основные понятия, используемые в Политике.
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу arepoco.com (а также арепо.рф / arepoco.ru как дополнительные домены).
2.4. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определённому или определяемому Пользователю Сайта.
2.9. Персональные данные, разрешённые субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.
2.10. Пользователь – любой посетитель Сайта.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.
3. Основные права и обязанности Оператора.
3.1. Оператор имеет право:
– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных, а также направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в Законе о персональных данных;
– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
3.2. Оператор обязан:
– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
– организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 (десяти) дней с даты получения такого запроса;
– публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике;
– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;
– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
– исполнять иные обязанности, предусмотренные Законом о персональных данных.
4. Основные права и обязанности субъектов персональных данных.
4.1. Субъекты персональных данных имеют право:
– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Перечень информации и порядок её получения установлен Законом о персональных данных;
– требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
– отзывать согласие на обработку персональных данных и направлять требование о прекращении обработки персональных данных;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор, rkn.gov.ru) или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
– на осуществление иных прав, предусмотренных законодательством РФ.
4.2. Субъекты персональных данных обязаны:
– предоставлять Оператору достоверные данные о себе;
– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
4.3. Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
5. Принципы обработки персональных данных.
5.1. Обработка персональных данных осуществляется на законной и справедливой основе.
5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.5. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
5.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
5.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6. Цели обработки персональных данных и категории обрабатываемых данных.
6.1. Заключение и исполнение договора купли-продажи: оформление заказа, оплата, доставка, связь по поводу заказа (статусы, чеки, уведомления). Категории: фамилия, имя, адрес электронной почты, номер мобильного телефона, адрес доставки (город, улица, дом, квартира, индекс), история заказов с указанием состава, сумм, статусов и дат.
6.2. Ведение бухгалтерского и налогового учёта в соответствии со статьёй 23 Налогового кодекса РФ. Категории: сведения о заказах и платежах, кассовые чеки.
6.3. Обеспечение безопасности Сайта и защита от мошенничества. Категории: IP-адрес (последний октет маскируется в аналитических отчётах), тип устройства, операционная система, браузер, технически необходимые cookies (сессия, корзина, выбор языка).
6.4. Аналитика – только при наличии согласия Пользователя, выраженного через cookie-баннер. Категории: просмотры страниц, источники переходов, UTM-метки, клики, скроллы, время на странице, сведения Яндекс.Метрики.
6.5. Персональные рекомендации и маркетинговые рассылки – только при наличии отдельного согласия, выраженного через соответствующий чек-бокс в Личном кабинете. Категории: пол, дата рождения, согласие на рассылки по электронной почте и SMS, список избранных товаров.
7. Правовые основания обработки персональных данных.
7.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (часть 1 статьи 6 Закона о персональных данных).
7.2. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта (пункт 5 части 1 статьи 6 Закона о персональных данных).
7.3. Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления возложенных законодательством на Оператора функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 Закона о персональных данных, статья 23 НК РФ, ФЗ № 54-ФЗ «О применении ККТ»).
7.4. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора при условии, что при этом не нарушаются права и свободы субъекта (пункт 7 части 1 статьи 6 Закона о персональных данных).
8. Безопасность персональных данных и сроки хранения.
8.1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путём реализации правовых, организационных и технических мер, необходимых для выполнения в полном объёме требований действующего законодательства в области защиты персональных данных.
8.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц. Применяются: шифрование канала передачи данных по протоколу HTTPS (TLS 1.3), хэширование паролей с использованием алгоритма bcrypt, маскирование IP-адресов в аналитических отчётах, регулярное резервное копирование баз данных, ограничение доступа к персональным данным по ролям и принципу минимально необходимых прав.
8.3. Персональные данные граждан Российской Федерации обрабатываются и хранятся на серверах, расположенных на территории Российской Федерации, в соответствии со статьёй 18.5 Закона о персональных данных.
8.4. Сроки хранения: данные о заказах, кассовые чеки и документы бухгалтерского учёта – 4 (четыре) года с момента совершения операции (статья 23 НК РФ); регистрационные данные пользователя – пока аккаунт активен, после удаления аккаунта данные анонимизируются в течение 30 (тридцати) календарных дней; маркетинговые данные и аналитические cookies – до отзыва согласия пользователем или 1 (один) год с даты последнего визита, в зависимости от того, какой срок наступит раньше; журнал согласий пользователей – 5 (пять) лет в соответствии с частью 4 статьи 18 Закона о персональных данных.
9. Передача персональных данных третьим лицам и трансграничная передача.
9.1. Персональные данные Пользователя ни при каких условиях не передаются третьим лицам, за исключением случаев, прямо предусмотренных действующим законодательством, и случаев, когда субъектом дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
9.2. В частности, в объёме, необходимом для оказания услуг, данные передаются следующим обработчикам: ЮКасса (НКО «ЮMoney», РФ) – данные о платеже (сумма, идентификатор заказа, результат операции); банковские карты Оператором не получаются и не хранятся. UniSender Go (ООО «ЮниСендер», РФ) – адрес электронной почты пользователя для отправки кодов входа, magic-link и транзакционных уведомлений о заказах. Яндекс.Метрика (ООО «Яндекс», РФ) – обезличенные аналитические данные; передача осуществляется только при наличии согласия пользователя. Курьерские службы и пункты выдачи заказов – имя, телефон и адрес доставки, передаются только по факту оформления конкретного заказа. Государственные органы РФ – в случаях, прямо предусмотренных законодательством.
9.3. Трансграничная передача персональных данных (за пределы РФ) Оператором не осуществляется; все процессоры и контрагенты обрабатывают данные на территории РФ. При возникновении необходимости такой передачи в будущем Оператор уведомит Роскомнадзор в порядке статьи 12 Закона о персональных данных и получит явное согласие субъекта.
9.4. Вся информация, которая собирается сторонними сервисами (платёжными системами, средствами связи и другими поставщиками услуг), хранится и обрабатывается указанными лицами в соответствии с их пользовательским соглашением и политикой конфиденциальности. Оператор не несёт ответственности за действия таких третьих лиц.
10. Cookies.
10.1. Технически необходимые cookies (авторизация, корзина, защита от CSRF) используются всегда без отдельного согласия Пользователя, так как без них работа Сайта невозможна.
10.2. Аналитические cookies (Яндекс.Метрика) используются только после получения явного согласия через cookie-баннер.
10.3. Маркетинговые cookies (ретаргетинг, персональные рекомендации) используются только после получения явного согласия.
10.4. Изменить настройки согласия Пользователь может в любой момент по ссылке «Настройки cookies» в нижней части Сайта или путём очистки локального хранилища браузера.
11. Реализация прав субъекта персональных данных.
11.1. Пользователь имеет право: получить копию всех данных о себе через раздел Личного кабинета; уточнить, обновить или удалить свои данные через раздел «Личные данные» в Личном кабинете; отозвать согласие на маркетинговые рассылки и профилирование через раздел «Уведомления»; удалить аккаунт (данные анонимизируются, история заказов сохранится в обезличенном виде для целей налогового учёта); направить письменный запрос Оператору на адрес электронной почты info@arepoco.com с пометкой «Запрос по обработке персональных данных» – Оператор ответит в течение 30 (тридцати) календарных дней с даты получения запроса.
11.2. В случае выявления неточностей в персональных данных Пользователь может актуализировать их самостоятельно через интерфейс Личного кабинета или путём направления Оператору уведомления на адрес электронной почты info@arepoco.com с пометкой «Актуализация персональных данных».
11.3. Пользователь может в любой момент отозвать своё согласие на обработку персональных данных, направив Оператору уведомление по электронной почте на адрес info@arepoco.com с пометкой «Отзыв согласия на обработку персональных данных».
12. Изменения настоящей Политики.
12.1. Оператор вправе обновлять настоящую Политику; дата последней редакции указана в начале документа. О существенных изменениях, затрагивающих права Пользователя, Оператор уведомит зарегистрированных пользователей по электронной почте и разместит соответствующее уведомление на Сайте.
13. Контакты Оператора.
13.1. Полное наименование: ИП Бабалян Тигран Эдисонович. ОГРНИП: 325774600084072. ИНН: 772700415417. Электронная почта для запросов по обработке персональных данных и письменных обращений – info@arepoco.com. Контактный телефон – +7 (985) 262-56-02.