Елена Бондарь Анатомия ПИР
Записаться на консультацию
Записаться на консультацию

Политика обработки персональных данных

Документ описывает, какие персональные данные обрабатываются при использовании сайта, с какими целями, как они хранятся и передаются и какие права есть у субъекта персональных данных.

[TODO-ЮРИСТ: весь текст ниже — рабочий шаблон под 152-ФЗ. До публичного запуска сайта необходима юридическая проверка и утверждение формулировок. После проверки эту врезку удалить.]

Оператор персональных данных: Бондарь Елена Александровна — самозанятый гражданин (плательщик налога на профессиональный доход), действует как физическое лицо.

Контакт оператора: zayavki@anatomypir.ru

1. Общие положения

Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки персональных данных и меры по обеспечению их безопасности, осуществляемые оператором с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.

Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и применяется ко всей информации, которую оператор может получить о посетителях сайта (далее — Сайт) при использовании ими формы заявки и иных сервисов Сайта.

Использование Сайта означает согласие посетителя с настоящей Политикой. В случае несогласия с условиями Политики посетителю следует воздержаться от использования Сайта и его сервисов.

Настоящая Политика вступает в силу с [TODO-КОНТЕНТ: дата вступления в силу — впишет владелец перед деплоем].

[TODO-ЮРИСТ: при необходимости указать в Политике точное доменное имя Сайта после выбора поддомена (см. claude.md §3).]

2. Основные понятия, используемые в Политике

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
  • Оператор — лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и состав обрабатываемых данных. Оператором по настоящей Политике является лицо, указанное выше.
  • Субъект персональных данных — физическое лицо, к которому относятся персональные данные; в рамках Сайта — посетитель, направивший заявку через форму.
  • Обработка персональных данных — любое действие или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без них.
  • Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.
  • Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или кругу лиц.
  • Блокирование, удаление и уничтожение — временное прекращение обработки, а также действия, в результате которых становится невозможным восстановление персональных данных.
  • Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти, иностранному физическому или юридическому лицу.

[TODO-ЮРИСТ: проверить определения на соответствие актуальной редакции статьи 3 Федерального закона № 152-ФЗ.]

3. Права и обязанности оператора

Оператор вправе:

  • получать от субъекта персональных данных достоверные данные и (или) документы, содержащие персональные данные;
  • обрабатывать персональные данные в объёме и для целей, указанных в настоящей Политике;
  • продолжать обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством.

Оператор обязан:

  • обрабатывать персональные данные законно и добросовестно;
  • предоставлять субъекту по его запросу информацию, касающуюся обработки его персональных данных;
  • принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования и распространения;
  • прекращать обработку и уничтожать персональные данные при достижении целей обработки или при отзыве согласия субъектом, если иное не предусмотрено законом.

[TODO-ЮРИСТ: проверить перечень прав и обязанностей оператора по статьям 18–22 Федерального закона № 152-ФЗ.]

4. Права и обязанности субъектов персональных данных

Субъект персональных данных вправе:

  • получать информацию, касающуюся обработки его персональных данных, в том числе о целях и способах обработки;
  • требовать уточнения, блокирования или уничтожения своих персональных данных, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки;
  • отозвать ранее данное согласие на обработку персональных данных;
  • обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных обязан предоставлять достоверные персональные данные, а также своевременно сообщать оператору об их изменении.

5. Цели обработки персональных данных

Персональные данные обрабатываются в следующих целях:

  • рассмотрение и обработка заявок, направленных посетителями через форму заявки на Сайте;
  • связь с субъектом персональных данных для уточнения деталей запроса;
  • оказание экспертных услуг в сфере ценообразования проектно-изыскательских работ;
  • улучшение работы Сайта и анализ его посещаемости с помощью файлов cookie и сервиса веб-аналитики Яндекс.Метрика.

6. Принципы обработки персональных данных

Обработка персональных данных осуществляется на основе следующих принципов:

  • законности и справедливости;
  • ограничения обработки достижением конкретных, заранее определённых и законных целей;
  • недопущения обработки, несовместимой с целями сбора персональных данных;
  • соответствия содержания и объёма обрабатываемых данных заявленным целям обработки;
  • точности и достаточности персональных данных, а при необходимости — их актуальности;
  • хранения персональных данных не дольше, чем этого требуют цели обработки;
  • уничтожения или обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении.

7. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных являются:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Гражданский кодекс Российской Федерации — в части отношений, связанных с оказанием услуг;
  • согласие субъекта персональных данных на обработку его персональных данных, выраженное при отправке формы заявки на Сайте;
  • договор на оказание услуг (в том числе фактические отношения по оказанию услуг), стороной которого является субъект персональных данных.

[TODO-ЮРИСТ: проверить перечень правовых оснований обработки и их формулировки; при необходимости дополнить.]

8. Условия обработки персональных данных

Обработка персональных данных допускается в случаях, когда:

  • обработка осуществляется с согласия субъекта персональных данных;
  • обработка необходима для исполнения договора, стороной которого является субъект персональных данных;
  • обработка необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством функций и обязанностей.

Оператор придерживается принципа минимизации: собираются только те данные, которые необходимы для первичного рассмотрения заявки. В связи с этим при заполнении формы действует следующее предупреждение:

Не прикладывайте документы, содержащие избыточные персональные данные, коммерческую тайну или конфиденциальную информацию, если это не требуется для первичного рассмотрения запроса.

9. Порядок сбора, хранения и передачи персональных данных

9.1. Сбор персональных данных

Персональные данные поступают оператору двумя путями:

  • данные, которые субъект сообщает добровольно при заполнении формы заявки на Сайте;
  • данные, которые собираются автоматически при посещении Сайта — с помощью файлов cookie, сервиса веб-аналитики Яндекс.Метрика, а также серверных журналов (логов).

9.2. Перечень обрабатываемых персональных данных

Данные, предоставляемые субъектом через форму заявки:

  • имя;
  • компания (наименование организации);
  • роль (заказчик, ГИП, ГАП, сметчик, руководитель и иное);
  • номер телефона;
  • имя пользователя или ссылка в Telegram;
  • адрес электронной почты;
  • описание задачи (ситуации, по которой направлена заявка);
  • сведения, содержащиеся в прикреплённом к заявке файле или доступные по указанной субъектом ссылке на облачную папку;
  • факт предоставления согласия на обработку персональных данных.

Данные, собираемые автоматически:

  • IP-адрес;
  • данные о браузере и устройстве (user-agent), параметры и время посещения Сайта;
  • данные о действиях на Сайте, собираемые файлами cookie и сервисом Яндекс.Метрика.

Специальные категории персональных данных и биометрические персональные данные оператором не обрабатываются.

9.3. Хранение персональных данных

Заявки, направленные через форму, первично хранятся в системе учёта заявок (NocoDB), размещённой на сервере (VPS) на территории Российской Федерации. Запись, систематизация, накопление и хранение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации.

Персональные данные хранятся в течение срока, необходимого для достижения целей обработки, либо до отзыва согласия субъектом персональных данных. По достижении целей обработки или при отзыве согласия персональные данные удаляются, если иное не предусмотрено законодательством.

9.4. Передача персональных данных

При поступлении заявки данные, указанные субъектом в форме, направляются оператору по служебным каналам уведомления:

  • в служебный чат оператора в мессенджере Telegram (через Telegram-бот);
  • на адрес электронной почты оператора (сервис Gmail).

Сервисы Telegram и Gmail используют серверы, расположенные за пределами территории Российской Федерации. Направление персональных данных в эти сервисы является трансграничной передачей персональных данных. Оператор информирует субъектов о такой передаче в настоящей Политике.

[TODO-ЮРИСТ: трансграничная передача персональных данных требует отдельного уведомления в Роскомнадзор — проверить перед запуском. Оценить допустимость передачи данных в Telegram и Gmail и при необходимости скорректировать схему уведомлений.]

Передача персональных данных третьим лицам в иных целях, а также их публикация и распространение не осуществляются, за исключением случаев, предусмотренных законодательством Российской Федерации.

[TODO-ЮРИСТ: проверить формулировку о привлечении третьих лиц к обработке — хостинг-провайдер (Beget), сервис автоматизации (n8n), оператор сервиса веб-аналитики (Яндекс.Метрика). При необходимости раскрыть их в Политике как лиц, осуществляющих обработку по поручению оператора.]

10. Действия с персональными данными

В отношении персональных данных оператор совершает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), блокирование, удаление и уничтожение.

11. Способы обработки персональных данных

Оператор осуществляет смешанную обработку персональных данных:

  • автоматизированную — с использованием средств вычислительной техники, в том числе с передачей данных по сети Интернет;
  • неавтоматизированную — при непосредственном участии человека в обработке.

12. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законодательством.

Для обеспечения безопасности персональных данных оператор принимает, в частности, следующие меры: ограничение доступа к системам обработки заявок (NocoDB, сервис автоматизации n8n) с использованием паролей и иных средств разграничения доступа; защиту формы заявки от автоматизированных обращений (honeypot-поле и проверки заявок); хранение ключей доступа и служебных параметров вне общедоступного кода Сайта.

[TODO-ЮРИСТ: при необходимости детализировать организационные и технические меры защиты по статьям 18.1 и 19 Федерального закона № 152-ФЗ.]

13. Заключительные положения

Субъект персональных данных может получить любые разъяснения по интересующим вопросам обработки его персональных данных, а также направить запрос на доступ к своим данным, их уточнение, блокирование, удаление или отзыв согласия на обработку, обратившись к оператору по адресу электронной почты zayavki@anatomypir.ru.

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики размещается на Сайте. При существенном изменении Политики оператор уведомляет об этом посетителей Сайта доступными способами.

[TODO-ЮРИСТ/ВЛАДЕЛЕЦ: до публичного запуска Сайта проверить необходимость и подать уведомление об обработке персональных данных в Роскомнадзор. При получении регистрационного номера в реестре операторов — добавить его в настоящий раздел.]

По вопросам, связанным с обработкой персональных данных, применяется также Согласие на обработку персональных данных, подтверждаемое субъектом при отправке формы заявки.