1. Общие положения
1.1. Настоящая Политика оператора в отношении обработки персональных данных (далее – Политика) является официальным документом Сайта «Гранитшоп» (далее – Оператор), и определяет порядок обработки и защиты персональных данных физических лиц (далее – Субъекты персональных данных), использующих Сайт «Гранитшоп» (сайт: https://granitshop.by/) и связанные с ним сервисы.
1.2. Настоящая Политика разработана в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О персональных данных» (далее – Закон) и иными нормативными правовыми актами Республики Беларусь в области защиты персональных данных.
1.3. Действие Политики распространяется на все персональные данные, которые Оператор получает от Субъектов персональных данных в процессе использования сайта, а также при заключении и исполнении договоров, в том числе при оформлении заказов.
1.4. Обработка персональных данных осуществляется Оператором на принципах законности, добросовестности, прозрачности, соответствия целей обработки заранее определенным и заявленным целям, недопустимости объединения баз данных, содержащих персональные данные, обрабатываемые для несовместимых между собой целей, а также обеспечения безопасности персональных данных при их обработке.

2. Основные понятия
2.1. Оператор – юридическое лицо, самостоятельно или совместно с иными лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
2.2. Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (Субъекту персональных данных).
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Субъект персональных данных – физическое лицо, к которому относятся персональные данные.

3. Категории субъектов персональных данных и перечень обрабатываемых персональных данных
3.1. Оператор обрабатывает персональные данных следующих категорий субъектов:

• клиенты Сайта;
• лица, направившие запросы через формы обратной связи, электронную почту или иные каналы связи;
• посетители сайта (техническая информация).

3.2. В зависимости от способа взаимодействия Оператор может обрабатывать следующие персональные данные:

• фамилия, имя, отчество (при наличии);
• контактный телефон.

3.3. В случае осуществления платежей с использованием банковских карт Оператор не обрабатывает данные банковских карт (реквизиты, CVV и т.п.) – обработка осуществляется через уполномоченные платежные системы, которые являются самостоятельными операторами персональных данных.
3.4. При посещении сайта автоматически обрабатываются технические данные: IP-адрес, данные о браузере, файлы cookie, время доступа и иные сведения, которые передаются в автоматическом режиме. Порядок обработки таких данных определяется в Политике конфиденциальности.

4. Правовые основания обработки персональных данных
4.1. Оператор обрабатывает персональные данные при наличии хотя бы одного из следующих оснований:

• согласие Субъекта персональных данных на обработку его персональных данных;
• заключение и исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных;
• исполнение обязанностей, возложенных законодательством Республики Беларусь;
• осуществление прав и законных интересов Оператора или третьих лиц, а также для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных.

4.2. Согласие на обработку персональных данных предоставляется Субъектом в свободной форме либо путем совершения действий. Согласие может быть отозвано в порядке, установленном разделом 9 настоящей Политики.

5. Цели обработки персональных данных
5.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

• заключение и исполнение договоров купли-продажи (в том числе оформление заказов, доставка товаров, возврат и гарантийное обслуживание);
• обеспечение обратной связи с клиентами (ответы на запросы, консультации);
• информирование о статусе заказа, о новых товарах, акциях и специальных предложениях (при наличии согласия);
• улучшение качества обслуживания, анализ поведения пользователей на сайте, проведение статистических и маркетинговых исследований;
• выполнение требований законодательства Республики Беларусь.

6. Порядок и условия обработки персональных данных
6.1. Обработка персональных данных осуществляется:

• с использованием средств автоматизации (в том числе в информационных системах персональных данных);
• без использования средств автоматизации (на бумажных носителях).

6.2. Оператор вправе поручить обработку персональных данных третьим лицам на основании договора поручения. При этом Оператор обеспечивает, чтобы лицо, осуществляющее обработку по поручению, соблюдало принципы и правила обработки, предусмотренные Законом и настоящей Политикой.
6.3. Передача персональных данных третьим лицам осуществляется только:

• на основании согласия Субъекта персональных данных (например, курьерским службам для доставки, платежным системам для проведения оплаты);
• в случаях, прямо предусмотренных законодательством Республики Беларусь (например, по запросу суда, правоохранительных органов и т.п.).

6.4. Сроки обработки персональных данных:

• Персональные данные обрабатываются в течение срока действия договора с Субъектом и в течение сроков, установленных законодательством для хранения бухгалтерской и иной документации (5 лет после окончания года, в котором договор был исполнен);
• При обработке на основании согласия – до достижения целей обработки или до отзыва согласия Субъектом.
• По истечении установленных сроков персональные данные уничтожаются либо обезличиваются.

7. Права субъектов персональных данных
7.1. Субъект персональных данных имеет право:

• на получение информации, касающейся обработки его персональных данных (содержание, источники, цели, сроки, правовые основания, а также сведения о предоставлении персональных данных третьим лицам);
• на внесение изменений (уточнение, обновление) своих персональных данных в случае их неполноты, устаревания или неточности;
• на отзыв согласия на обработку персональных данных (в случаях, когда обработка основана исключительно на согласии);
• на удаление (блокирование) персональных данных в случаях, предусмотренных Законом (отсутствие законных оснований для обработки, неправомерное использование и др.);
• на обжалование действий (бездействия) Оператора в уполномоченный орган по защите прав субъектов персональных данных (Национальный центр защиты персональных данных Республики Беларусь) и в судебном порядке.

7.2. Для реализации своих прав Субъект персональных данных вправе обратиться к Оператору с соответствующим запросом (заявлением) в письменной форме или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством. Запрос должен содержать:

• фамилию, имя, отчество (при наличии), адрес места жительства (места пребывания) Субъекта;
• дату выдачи документа, удостоверяющего личность, и его идентификационный номер (при наличии);
• изложение сути требования;
• личную подпись Субъекта (или электронную подпись).

7.3. Оператор обязан рассмотреть запрос в течение 15 рабочих дней со дня его получения и дать мотивированный ответ, либо принять меры по удовлетворению требований Субъекта.

8. Меры по обеспечению безопасности персональных данных
8.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, в том числе:

• назначение лица, ответственного за организацию обработки персональных данных;
• проведение внутренних проверок соблюдения законодательства о персональных данных;
• ограничение круга лиц, допущенных к обработке персональных данных;
• использование средств защиты информации (антивирусное программное обеспечение, межсетевое экранирование, резервное копирование);
• обеспечение безопасности помещений, где хранятся материальные носители персональных данных.

8.2. В случае выявления фактов неправомерной обработки персональных данных либо утечки персональных данных Оператор незамедлительно принимает меры по устранению последствий и уведомляет уполномоченный орган в порядке, установленном Законом.

9. Порядок отзыва согласия на обработку персональных данных
9.1. Если обработка персональных данных осуществляется на основании согласия, Субъект персональных данных вправе отозвать согласие, направив Оператору соответствующее заявление (в порядке, аналогичном п. 7.2 настоящей Политики).
9.2. Отзыв согласия влечет за собой прекращение обработки персональных данных и их удаление, если иное не предусмотрено законодательством (например, наличие договорных отношений, требующих дальнейшей обработки, или обязанности по хранению, установленные законом).

10. Заключительные положения
10.1. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно до принятия новой редакции.
10.2. Изменения в Политику могут вноситься Оператором в связи с изменениями законодательства или внутренних процессов обработки персональных данных. Новая редакция Политики размещается на сайте https://granitshop.by/ не позднее чем за 10 дней до вступления в силу, если иное не предусмотрено законом.
10.3. Настоящая Политика является общедоступным документом и размещается на Сайте в открытом доступе.