ПОЛИТИКАв отношении обработки персональных данныхООО "Смоленская Дорожная Строительная Компания" Редакция действует с «01» июня 2025 года
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика) ООО "Смоленская Дорожная Строительная Компания" (далее – Оператор), зарегистрированного в установленном законодательством Российской Федерации порядке, разработана и утверждена в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152). Политика определяет принципы, цели, правовые основания, условия, порядок и меры защиты при осуществлении Оператором обработки персональных данных субъектов, относящихся к категориям, указанным в настоящей Политике, и направлена на обеспечение неукоснительного соблюдения прав и свобод граждан при обработке их персональных данных Оператором.
1.2. Действие настоящей Политики распространяется на все виды обработки персональных данных, осуществляемые Оператором как с использованием средств автоматизации, так и без использования таких средств, включая обработку, начатую до даты вступления в силу настоящей редакции Политики. Политика является обязательной к применению Оператором и всеми работниками (если таковые имеются), привлекаемыми к обработке персональных данных на основании гражданско-правовых договоров.
1.3. Оператор, являясь ответственным за организацию обработки персональных данных, самостоятельно определяет в соответствии с требованиями ФЗ-152 и подзаконных нормативных правовых актов, изданных для его исполнения:
-состав обрабатываемых персональных данных;
-цели и правовые основания их обработки;
-категории субъектов персональных данных;
-перечень действий с персональными данными и способы их обработки;
-состав и перечень необходимых и достаточных организационных и технических мер, направленных на обеспечение безопасности персональных данных при их обработке, предотвращение несанкционированного доступа к ним и иных неправомерных действий.
Исключения составляют случаи, когда состав таких мер прямо установлен ФЗ-152 или иными федеральными законами.
1.4. Правовыми основаниями разработки и применения настоящей Политики, а также правовыми основаниями обработки персональных данных Оператором являются:
1. Конституция Российской Федерации;
2. Гражданский кодекс Российской Федерации;
3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
4. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
5. Трудовой кодекс Российской Федерации (в части обработки данных работников, если Оператор использует наемный труд);
6. Налоговый кодекс Российской Федерации;
7. Федеральный закон «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
8. Иные нормативные правовые акты Российской Федерации в сфере защиты персональных данных, регулирующие деятельность индивидуальных предпринимателей;
9. Локальные нормативные акты Оператора (при наличии);
10. Договоры (контракты, соглашения), заключаемые между Оператором и субъектом персональных данных (например, договор оказания услуг, договор аренды, договор подряда);
11. Согласие субъекта персональных данных на обработку его персональных данных, предоставленное Оператору в порядке, предусмотренном ст. 9 ФЗ-152 (в случаях, когда обработка требует согласия);
12. Осуществление Оператором прав и обязанностей, предусмотренных законодательством Российской Федерации (в частности, в налоговой, бухгалтерской, кадровой сферах).
2. Термины и принятые сокращения:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных, в том числе физическое лицо (в тексте Пользователь) зарегистрированное в установленном порядке и использующее Веб-сервис.
Оператор персональных данных (Оператор) – лицо, самостоятельно организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором в рамках настоящей Политики является:
· ООО "Смоленская Дорожная Строительная Компания"
· Адрес регистрации: 214014, Смоленская область, г Смоленск, Запольный пер, д. 3а, кв. 18
· ОГРН – 1116732019062
· ИНН - 6732032227
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по уникальному адресу (URL). В рамках настоящей Политики под Сайтом понимается:
· Основной сайт: http://kbeton-rf.ru
· Включая: все поддомены (субдомены) всех уровней указанного домена, а также любые страницы, разделы, сервисы и функционал, доступные на данном домене и его поддоменах, как функционирующие на дату вступления в силу настоящей Политики, так и запускаемые в последующем.
3. Цели обработки персональных данных
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2. Оператор осуществляет обработку исключительно тех персональных данных, которые являются необходимыми и достаточными для достижения заявленных в настоящем разделе целей. Избыточная обработка данных, не отвечающих конкретным целям, исключена.
3.3. Обработка Оператором персональных данных осуществляется в следующих целях:
3.3.1.Заключение, исполнение, изменение и прекращение договоров:
· С физическими лицами (клиентами) на оказание услуг;
· С индивидуальными предпринимателями и юридическими лицами (контрагентами) на оказание услуг;
· Идентификация сторон договора, проверка их правоспособности и полномочий;
· Коммуникация в рамках исполнения договорных обязательств;
· Прием платежей, выставление счетов и актов.
3.3.2. Обеспечение взаимодействия с пользователями Сайта:
· Установление и поддержание обратной связи с субъектами ПДн, использующими Сайт Оператора;
· Регистрация, обработка и выполнение запросов, заявок, обращений, поступающих через онлайн-формы, электронную почту, чаты или иные средства связи;
· Направление уведомлений, ответов на обращения, информации, связанной с использованием Сайта;
· Предоставление информации об услугах Оператора по запросу субъекта ПДн.
3.3.3. Анализ эффективности онлайн-ресурсов и маркетинговых активностей:
· Сбор и анализ обезличенных статистических данных о посещаемости Сайта (kbeton-rf.ru) и его разделов;
· Оценка поведения пользователей на Сайте для улучшения его функциональности, удобства и контента;
· Проведение исследований предпочтений аудитории (на основе агрегированных данных);
· Использование инструментов веб-аналитики (таких как Яндекс.Метрика и др.) с обязательным применением механизмов обезличивания данных, где это технически возможно и применимо к конкретному сервису.
3.3.4. Исполнение требований законодательства в сфере финансовой и налоговой отчетности:
· Ведение первичной учетной документации, бухгалтерского и налогового учета в соответствии с требованиями Налогового кодекса РФ, Федерального закона «О бухгалтерском учете»;
· Формирование и сдача обязательной отчетности в налоговые и иные контролирующие органы;
· Подтверждение хозяйственных операций для целей налогообложения.
3.3.6. Иные цели, прямо предусмотренные действующим законодательством Российской Федерации:
· Исполнение требований законодательства в области архивного дела и делопроизводства;
· Выполнение функций, возложенных на Оператора как на субъекта предпринимательской деятельности (например, соблюдение правил противодействия легализации доходов (ФЗ-115), если применимо);
· Защита прав и законных интересов Оператора в судебных и досудебных порядках;
· Обеспечение пропускного режима и безопасности на объектах Оператора (если применимо);
· Иные случаи, когда обработка ПДн прямо предписана федеральным законом и осуществляется без согласия субъекта ПДн на основаниях, предусмотренных ст. 6 ФЗ-152.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
4.1. Состав и объем обрабатываемых персональных данных строго соответствуют заявленным целям обработки (Раздел 3 настоящей Политики). Оператор гарантирует отсутствие избыточности обрабатываемых данных по отношению к конкретным целям их использования в соответствии с требованиями ч. 5 ст. 5 ФЗ-152.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:
4.2.1. Клиенты и контрагенты – физические лица:
Обрабатываемые данные:
· Идентификационные: ФИО, дата рождения;
· Документальные: серия/номер паспорта, дата выдачи, кем выдан;
· Контактные: номер телефона, адрес электронной почты, адрес регистрации;
· Профессиональные: занимаемая должность (для представителей организаций);
· Иные данные, необходимые для исполнения конкретного договора (например: ИНН – для договоров подряда; реквизиты доверенности – для представителей).
4.2.2. Пользователи Сайта (посетители сайта kbeton-rf.ru):
Обрабатываемые данные:
· ФИО (при заполнении форм);
· Телефон;
· E-mail.
Автоматически собираемые обезличенные данные:
· Технические параметры устройства: тип браузера/ОС, разрешение экрана;
· Сетевая информация: IP-адрес (в обезличенном виде), реферер (URL источника перехода);
· Данные сессии: время посещения, продолжительность, последовательность просмотра страниц;
· Данные cookie и аналогичных технологий (с обязательным уведомлением через cookie-баннер).
· Примечание: Автоматически собираемые данные используются исключительно в агрегированном и обезличенном виде для веб-аналитики.
4.2.3. Представители юридических лиц и ИП (контрагентов):
Обрабатываемые данные:
· ФИО, должность;
· Контактные данные (рабочие телефон/email);
· Реквизиты доверенности/документа, подтверждающего полномочия.
4.3. Ограничение на обработку специальных категорий данных:
Оператор не обрабатывает и не требует предоставления специальных категорий персональных данных, указанных в ч. 1 ст. 10 ФЗ-152 (раса, национальность, политические/религиозные/философские взгляды, состояние здоровья, интимная жизнь, биометрические данные), за исключением случаев:
· Прямого предписания федерального закона (например, данные о здоровье в договорах страхования, если Оператор выступает агентом);
· Предоставления субъектом письменного согласия на обработку таких данных для строго определенной цели;
· Обработки данных, сделанных субъектом общедоступными.
5. Порядок, условия обработки и хранения персональных данных
5.1. Правовые основания и принципы обработки:
Обработка персональных данных Оператором осуществляется строго в соответствии с Федеральным законом № 152-ФЗ и иными нормативными актами РФ. Обработка производится:
· На основании письменного согласия субъекта ПДн (в случаях, требующих согласия);
· Без согласия – в случаях, прямо предусмотренных ст. 6 ФЗ-152 (исполнение договора, где субъект – сторона/выгодоприобретатель; исполнение законодательства; защита жизни/здоровья; осуществление правосудия и др.).
5.2. Согласие на обработку (включая распространение):
· Общее согласие: Дается субъектом в любой допускаемой законом форме (письменно, электронно через форму на сайте, путем конклюдентных действий).
· Согласие на распространение ПДн (ст. 10.1 ФЗ-152):
· Оформляется отдельным документом (не через оферту/пользовательское соглашение).
· Содержит явный перечень данных, разрешенных к распространению, и целей такого распространения.
· Может быть отозвано в упрощенном порядке (через сайт или письменное заявление).
· Оператор обязан незамедлительно прекратить распространение после отзыва согласия и удалить данные из публичных источников.
5.3. Способы обработки:
Обработка персональных данных осуществляется комбинированно, с применением:
1. Автоматизированных средств: С использованием информационных систем (серверы, базы данных, сайт, почтовые сервисы) с обязательным соблюдением требований безопасности (шифрование, антивирусы).
2. Неавтоматизированных (ручных) способов: При работе с бумажными документами (договоры, заявления, первичная бухгалтерская документация) в условиях, исключающих несанкционированный доступ (сейфы, запираемые шкафы, ограниченный круг лиц).
5.4. Обязанности по обеспечению безопасности:
Оператор обязуется:
· Реализовать исчерпывающий комплекс организационных и технических мер защиты ПДн от утечки, утраты, искажения в соответствии с требованиями Постановления Правительства РФ № 1119 и приказов ФСТЭК/ФСБ.
· Расследовать все инциденты, связанные с нарушением безопасности ПДн.
· Оперативно реагировать на обращения субъектов ПДн относительно обработки их данных, предоставляя исчерпывающую информацию и устраняя нарушения.
5.6. Обработка в рамках договорных отношений:
Обработка ПДн без отдельного согласия допускается, если:
· Субъект ПДн является стороной договора (клиент), выгодоприобретателем или представителем контрагента (юридического лица/ИП).
· Обрабатываемые данные необходимы и достаточны для заключения, исполнения или изменения конкретного договора (например: идентификация, коммуникация, выставление счетов, оказание услуги).
5.7. Раскрытие данных третьим лицам:
· Передача ПДн третьим лицам без согласия субъекта допускается только:
· Для исполнения договора, стороной которого является субъект.
· По требованию уполномоченных госорганов (суд, ФНС, МВД) в рамках их компетенции.
· Трансграничная передача – в соответствии с п. 3.3.5 настоящей Политики.
· Распространение ПДн (публикация) осуществляется исключительно на основании отдельного согласия на распространение (п. 5.2).
5.8. Добровольность предоставления данных:
Предоставление субъектом ПДн своих данных Оператору (включая заполнение форм на сайте) является осознанным и добровольным. Отказ от предоставления данных, необходимых для заключения/исполнения договора или требований закона, может повлечь невозможность оказания услуги или заключения договора.
5.9. Обработка данных пользователей сайта:
· Обработка ПДн посетителей сайта kbeton-rf.ru осуществляется только при их самостоятельном заполнении и отправке данных через онлайн-формы (обратная связь, запрос ).
· Технические данные (IP, cookie, метаданные браузера) обрабатываются в обезличенном виде (п. 4.2.2).
5.10. Сроки хранения персональных данных:
· ПДн хранятся не дольше, чем это необходимо для целей их обработки (п. 3) или требований законодательства.
· Конкретные сроки:
· Данные по договорам – 5 лет после окончания договора (ст. 29 НК РФ).
· Первичная бухгалтерская документация – 5 лет (ст. 29 НК РФ).
· Данные из обращений (ФЗ-59) – 3 года.
· Автоматически собираемые данные сайта – в агрегированном и обезличенном виде без ограничения срока.
· По истечении сроков данные блокируются и подлежат уничтожению.
5.11. Меры обеспечения безопасности ПДн:
Оператор реализует следующие обязательные меры защиты:
1. Организационные:
· Назначение ответственного за БДн (даже при отсутствии работников).
· Разработка и утверждение ЛНА: Политика, Инструкции, Регламенты.
· Регулярный контроль исполнения требований ФЗ-152.
· Ограничение доступа к ПДн, ведение журналов учета носителей.
· Инструктажи лиц, допущенных к обработке.
1. Технические:
· Применение СКЗИ и шифрования при передаче данных.
· Антивирусная защита, регулярное обновление ПО.
· Межсетевые экраны (Firewall), системы обнаружения вторжений.
· Резервное копирование данных.
· Физическая охрана помещений (при наличии) и носителей.
1. Локализация баз данных: Базы данных, содержащие ПДн граждан РФ, физически размещаются на территории Российской Федерации (используется хостинг российских провайдеров).
5.12. Принцип ограничения хранения:
Срок хранения конкретных ПДн определяется целью их обработки (Раздел 3) и прямыми требованиями закона (НК РФ, ФЗ "О бухучете", ФЗ "Об архивном деле"). Хранение сверх установленных сроков запрещено.
5.13. Порядок отзыва согласия и прекращения обработки:
· Субъект ПДн вправе отозвать согласие на обработку (если обработка основана на согласии).
· Оператор обязан прекратить обработку и уничтожить данные в срок, не превышающий 30 (тридцати) календарных дней с даты получения отзыва.
· Прекращение обработки по иным основаниям (достижение цели, истечение срока) осуществляется в соответствии с п. 5.10, 5.15.
5.14. Требование о локализации баз данных:
Оператор гарантирует, что запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ осуществляются исключительно с использованием баз данных, расположенных на территории Российской Федерации, в полном соответствии со ст. 18 ФЗ-152.
5.15. Основания и сроки прекращения обработки:
Обработка ПДн прекращается Оператором немедленно при:
1. Выявлении неправомерной обработки: В течение 3 (трех) рабочих дней с момента обнаружения нарушения.
2. Достижении цели обработки: В сроки, установленные п. 5.10.
3. Отзыве согласия субъектом: В сроки, установленные п. 5.13.
4. Прекращении правовых оснований: (Истечение срока договора, отзыв доверенности представителя и т.д.).
5. Ликвидации (прекращении деятельности) Оператора: С передачей архивных документов в установленном законом порядке.
6. Реализация прав субъектов ПДн и обеспечение целостности данных
6.1. Порядок предоставления информации по запросу субъекта ПДн:
1. Сроки: Оператор предоставляет информацию, предусмотренную ч. 7 ст. 14 ФЗ-152 (факт обработки, цели, основания и др.), в течение 30 (тридцати) календарных дней с даты получения письменного запроса. Срок может быть продлен до 15 (пятнадцати) календарных дней при сложности запроса с обязательным уведомлением субъекта.
2. Форма запроса: Запрос должен содержать:
· Реквизиты документа, удостоверяющего личность (паспорт);
· Подробности взаимодействия с Оператором (№ договора, дата, суть услуги);
· Собственноручную подпись субъекта или его представителя.
1. Электронный формат: Запрос может быть отправлен через электронную почту: sdskrf@bk.ru
2. Форма ответа: Информация предоставляется в форме, аналогичной запросу (письменно/электронно), если иное не указано в запросе.
3. Ограничения: Доступ может быть ограничен, если:
· Запрос не содержит обязательных реквизитов;
· Затрагивает права третьих лиц (ч. 8 ст. 14 ФЗ-152);
· Данные обрабатываются для целей ОРД, безопасности или исполнения судебного акта.
6.2. Блокирование и уточнение неточных данных:
1. При получении обоснованного обращения об неточности данных Оператор немедленно блокирует спорные ПДн на период проверки (макс. 7 рабочих дней), если это не нарушает права субъекта.
2. Для уточнения данных субъект предоставляет подтверждающие документы (скан паспорта, свидетельство и т.д.).
3. По результатам проверки Оператор:
· Вносит исправления в 3 рабочих дня;
· Уведомляет субъекта о результатах;
· Снимает блокировку.
6.3. Прекращение неправомерной обработки:
При подтверждении факта неправомерной обработки (по обращению субъекта, Роскомнадзора или по инициативе Оператора):
· Обработка данных прекращается немедленно;
· Данные блокируются до устранения нарушений;
· Субъект уведомляется о принятых мерах.
6.4. Порядок действий при инцидентах утечки данных:
При выявлении факта несанкционированного доступа/распространения ПДн Оператор:
1. В течение 24 часов:
· Уведомляет Роскомнадзор по установленной форме;
· Предоставляет предварительный анализ причин и возможного ущерба;
· Назначает ответственного для взаимодействия с РКН.
1. В течение 72 часов:
· Предоставляет окончательный отчет Роскомнадзору;
· Указывает виновных лиц (при наличии);
· Направляет субъектам ПДн информацию об инциденте и рекомендации по защите.
6.5. Процедура уничтожения персональных данных:
1. Основания для уничтожения:
· Достижение цели обработки (в течение 30 дней);
· Истечение срока хранения (в течение 30 дней);
· Отзыв согласия (в течение 30 дней);
· Подтверждение незаконности обработки (в течение 7 рабочих дней).
1. Исключения: Уничтожение не производится, если:
· Данные необходимы для исполнения действующего договора;
· Требуется сохранение для целей судопроизводства;
· Иное предусмотрено федеральным законом.
1. Технология уничтожения:
· Электронные данные: Низкоуровневое форматирование носителей с использованием сертифицированного ПО;
· Бумажные носители: Шредирование до уровня частиц 1х5 мм;
· Фиксация: Составление акта об уничтожении с указанием:
· Перечня уничтоженных данных;
· Основания;
· Способа уничтожения;
· Состава комиссии (ИП + привлеченный специалист по БДн).
7. Заключительные положения
7.1. Порядок внесения изменений в Политику:
Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику в случаях:
· Изменения требований ФЗ-152 или подзаконных актов;
· Изменения технологий обработки данных;
· Реорганизации бизнес-процессов.
· Изменения не могут ограничивать установленные законом права субъектов ПДн.
7.2. Уведомление об изменениях и вступление в силу:
1. Новая редакция Политики публикуется на сайте:
· В разделе "Политика конфиденциальности" по адресу: http://kbeton-rf.ru/policy
· С обязательным указанием даты вступления в силу.
1. Существенные изменения доводятся до сведения субъектов:
· Через email-рассылку (для клиентов с действующими договорами);
· Информационный баннер на сайте сроком на 14 дней.
7.3. Консультации по вопросам обработки ПДн:
Субъекты ПДн вправе получить разъяснения:
· По телефону: +7 920 332 04 79 (будни 9:00-18:00 по МСК);
· Через форму обратной связи на сайте;
· По электронной почте:
sdskrf@bk.ru.
· *Срок ответа на запрос - не более 72 часов с момента регистрации обращения.*
7.4. Обязательная публикация:
Настоящая Политика является общедоступным документом и размещена по постоянному адресу: http://kbeton-rf.ru/policy
Версия документа от 01.06.2025 имеет приоритет над предыдущими редакциями.
7.5. Разрешение споров:
Претензии по обработке ПДн рассматриваются в досудебном порядке в течение 20 рабочих дней. При недостижении согласия спор передается в суд по месту регистрации Оператора (г. Смоленск).
7.6. Контроль исполнения:
Оператор ежегодно проводит внутренний аудит соответствия Политики требованиям:
· ФЗ-152;
· Приказов ФСТЭК/ФСБ № 21/378/мс/шв;
· Рекомендаций Роскомнадзора.
· Отчеты хранятся не менее 3 лет.
8.РЕКВИЗИТЫ ОПЕРАТОРА
Общество с ограниченной ответственностью «Смоленская Дорожная Строительная Компания»Юридический адрес: 214014, Смоленская область, г Смоленск, Запольный пер, д. 3а, кв. 18
ОГРН - 1116732019062
ИНН - 6732032227
E-mail: sdskrf@bk.ruТел: +7 920 332 04 79