Политика конфиденциальности персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «РОБЕН РУС»
Дата последнего обновления: 13.05.2026
Дата вступления в силу: 13.05.2026
  1. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
  2. Реквизиты
  3. Полное наименование: ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «РОБЕН РУС»
  4. Краткое наименование: ООО «Робен Рус»
  5. ОГРН: 1177847356851
  6. ИНН: 7814710450
  7. Юридический адрес: 197348, город Санкт-Петербург, Коломяжский пр-кт, д. 18 литер А, помещ. 34‑н ком. 2
  8. Контактный e‑mail для вопросов по обработке персональных данных: info@ryowa.ru
  9. Телефон: +79119121707
  10. Сайт: https://ryowa.ru/
  11. ОСНОВНЫЕ ПОНЯТИЯ
  12. В настоящей Политике используются понятия в значении, определённом Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных», в том числе: персональные данные, обработка персональных данных, субъект персональных данных, оператор, обработчик, обезличивание, уничтожение, трансграничная передача, информационная система персональных данных, cookie.
  13. ОБЯЗАННОСТИ ОПЕРАТОРА
  14. 3.1. Оператор обязуется:
  • обеспечивать обработку ПД в соответствии с требованиями 152‑ФЗ;
  • не раскрывать ПД третьим лицам без правового основания;
  • предоставлять субъектам ПД информацию о фактах обработки в порядке, установленном законом;
  • принимать правовые, организационные и технические меры для защиты ПД (ст. 19 152‑ФЗ);
  • назначить лицо, ответственное за организацию обработки ПД;
  • уведомлять уполномоченный орган (Роскомнадзор) об обработке ПД в случаях и порядке, установленных законом;
  • при обработке ПД граждан РФ обеспечивать хранение баз данных на территории РФ (ч. 5 ст. 18 152‑ФЗ), за исключением случаев, прямо предусмотренных законом;
  • уведомлять Роскомнадзор и субъектов ПД об инцидентах в сроки, установленные ч. 3.1 ст. 21 152‑ФЗ.
  1. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • Посетители сайта;
  • Клиенты и заказчики (физические лица);
  • Потенциальные клиенты и лица, оставляющие заявки;
  • Соискатели и сотрудники (если на сайте реализована соответствующая функциональность).
  1. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИСТОЧНИКИ
  2. 5.1. Данные, предоставляемые субъектом в явном виде (через формы сайта, по e‑mail, телефону):
  • Фамилия, имя, отчество;
  • Контактный телефон;
  • Адрес электронной почты;
  • Адрес доставки/адрес объекта (город, улица, дом, квартира);
  • Наименование компании и реквизиты (при юридическом лице);
  • Комментарии пользователя, содержание заявки;
  • Иные данные, прямо указанные в полях форм (например: предпочтения, примечания).
5.2. Данные, собираемые автоматически:
  • IP‑адрес;
  • Идентификаторы сессии;
  • User‑Agent (информация о браузере и ОС);
  • Тип устройства и разрешение экрана;
  • Дата и время посещения;
  • URL просмотренных страниц;
  • Referrer;
  • UTM‑метки;
  • Cookie и другие аналогичные технологии.
5.3. Данные от третьих лиц и сервисов:
  • Данные и метрики, передаваемые сервисом Яндекс.Метрика (см. раздел 8);
  • Данные из интегрированных сервисов и обработчиков (CRM, платёжные провайдеры и т.п.), при условии наличия соответствующих договорных оснований.
  1. ЦЕЛИ ОБРАБОТКИ, ПРАВОВЫЕ ОСНОВАНИЯ И СОСТАВ ПД ПО ЦЕЛЯМ (ТАБЛИЦА)
Таблица целей обработки
  • Цель: Обработка заявок и исполнение договоров (приём заявок, согласование объёма работ, доставка, гарантийное обслуживание).
  • Правовое основание: ст. 6 ч.1 п.1 152‑ФЗ (исполнение договора или предварительные действия по требованию субъекта).
  • Состав ПД: ФИО; телефон; e‑mail; адрес объекта/доставки; комментарии; реквизиты (при выставлении счёта).
  • Категории субъектов: клиенты, заказчики.
  • Срок хранения: 3 года с даты закрытия заказа/исполнения договора, если иное не требуется законодательством (для бухгалтерии — 5–7 лет в зависимости от требования законодательства; см. обоснование ниже).
  • Цель: Ведение бухгалтерского и налогового учёта.
  • Правовое основание: ст. 6 ч.1 п.2 152‑ФЗ (исполнение требований законодательства).
  • Состав ПД: ФИО, адрес, контакты, платёжные реквизиты, данные договоров и платёжных документов.
  • Категории субъектов: клиенты, контрагенты.
  • Срок хранения: 5 лет (в целях налогового и бухгалтерского учёта), если иное не установлено законодательством.
  • Цель: Обработка обращений и запросов (консультации, предварительные расчёты).
  • Правовое основание: ст. 6 ч.1 п.1 152‑ФЗ (исполнение договора/преддоговорные действия) или согласие (при маркетинге).
  • Состав ПД: ФИО, телефон, e‑mail, содержание обращения.
  • Категории субъектов: посетители, потенциальные клиенты.
  • Срок хранения: 3 года.
  • Цель: Маркетинговые и информационные рассылки (по согласованию).
  • Правовое основание: ст. 6 ч.1 п.1 и/или п.5 (согласие) 152‑ФЗ; Федеральный закон «О рекламе» при применении.
  • Состав ПД: ФИО, e‑mail, телефон, предпочтения (при наличии).
  • Категории субъектов: подписчики, клиенты.
  • Срок хранения: до отзыва согласия.
  • Цель: Аналитика и улучшение работы сайта (Яндекс.Метрика).
  • Правовое основание: ст. 6 ч.1 п.5 152‑ФЗ (законный интерес/согласие на аналитические cookie в зависимости от настроек).
  • Состав ПД: cookie; обезличенные/псевдонимизированные показатели; IP‑адрес (в объёме, используемом сервисом); данные о действиях на сайте (просмотры страниц, клики, скроллы, время на странице), UTM‑метки.
  • Категории субъектов: все посетители.
  • Срок хранения: 2 года (конкретизировано с указанием периода).
  • Цель: Техническая безопасность и журналы доступа.
  • Правовое основание: ст. 6 ч.1 п.5 152‑ФЗ (законные интересы Оператора).
  • Состав ПД: IP‑адрес, метки времени, URL запросов, идентификатор сессии, логи безопасности.
  • Категории субъектов: все посетители.
  • Срок хранения: логи доступа — 1 год; логи безопасности при расследовании — до 1 года.
  • Цель: Создание и обслуживание учётных записей пользователей (при наличии личного кабинета).
  • Правовое основание: ст. 6 ч.1 п.1 152‑ФЗ.
  • Состав ПД: ФИО, телефон, e‑mail, логин, хэш пароля, сведения учётной записи.
  • Категории субъектов: зарегистрированные пользователи.
  • Срок хранения: срок действия учётной записи + 3 года после удаления.
  1. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
  2. Обработка ПД осуществляется на основании положений 152‑ФЗ: согласие субъекта (ст. 9, 6 ч.1 п.5), исполнение договора (ст. 6 ч.1 п.1), исполнение обязанностей, установленных законом (ст. 6 ч.1 п.2), а также законные интересы Оператора (ст. 6 ч.1 п.5) при оценке необходимости и соразмерности обработки.
  3. ЯНДЕКС.МЕТРИКА: ПЕРЕЧЕНЬ СОБИРАЕМЫХ ДАННЫХ И УСЛОВИЯ
  4. 8.1. На сайте используется Яндекс.Метрика для сбора статистики и анализа поведения пользователей.
  5. 8.2. Яндекс.Метрика может собирать: IP‑адрес (в объёме, необходимом для геолокации), cookie‑идентификаторы, информацию о браузере и устройстве (User‑Agent), данные о просмотренных страницах, время просмотра, последовательность переходов, клики, скроллы, движения мыши, UTM‑метки и иные показатели взаимодействия; при включении вебвизора — записи сеансов поведения пользователя.
  6. 8.3. Правовая база сбора: согласие субъекта на аналитические cookie (при необходимости) либо законный интерес Оператора для обезличенного анализа; при использовании вебвизора следует получить явное информированное согласие, если записи содержат данные, позволяющие идентифицировать субъекта.
  7. 8.4. Ссылка на политику Яндекса: https://yandex.ru/legal/confidential/
  8. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
  9. 9.1. Оператор не осуществляет намеренной передачи персональных данных за пределы Российской Федерации.
  10. 9.2. В случае необходимости трансграничной передачи Оператор обязуется: получить отдельное информированное согласие субъекта ПД, обеспечить наличие правовых гарантий и соглашений с принимающими сторонами, и выполнить требования 152‑ФЗ и иных применимых актов. Все такие передачи предварительно документируются и согласовываются ответственного за ПД лица.
  11. ЛОКАЛИЗАЦИЯ БАЗ ДАННЫХ И МЕСТО ХРАНЕНИЯ
  12. 10.1. Все базы данных, содержащие персональные данные граждан РФ, находятся на серверах, расположенных на территории Российской Федерации, с обеспечением физической и технической защиты.
  13. 10.2. Хостинг и провайдеры услуг, использованные Оператором (включая CRM), имеют договорные обязательства по хранению данных в РФ и обеспечению мер безопасности.
  14. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ СВЕДЕНИЙ СУБЪЕКТАМ И СРОКИ РЕАКЦИИ
  15. 11.1. Субъект ПД вправе получить сведения, предусмотренные ст. 14 152‑ФЗ.
  16. 11.2. Срок для предоставления сведений и реагирования на требования субъекта: 7 (семь) рабочих дней с даты получения запроса (ст. 21 ч.1 152‑ФЗ).
  17. 11.3. Формы получения запроса: e‑mail (info@ryowa.ru) или почтовое отправление по юридическому адресу. Запрос должен содержать ФИО, данные документа, удостоверяющего личность, контактную информацию и суть требования; Оператор вправе запросить дополнительные документы для идентификации субъекта.
  18. 11.4. В случае необходимости предоставления особо охраняемой или конфиденциальной информации ответ направляется в форме, позволяющей подтвердить факт предоставления (защищённое письмо, зарегистрированное отправление).
  19. 11.5. В случае невозможности удовлетворить требование Оператор направляет мотивированный отказ с указанием причин в тот же срок.
  20. ПОРЯДОК ОТЗЫВА СОГЛАСИЯ НА ОБРАБОТКУ ПД
  21. 12.1. Согласие на обработку ПД может быть отозвано субъектом в любое время путём направления заявления на e‑mail info@ryowa.ru или почтой на юридический адрес Оператора.
  22. 12.2. Срок подтверждения получения отзыва: 3 рабочих дня.
  23. 12.3. Срок прекращения обработки и уничтожения данных после отзыва: в течение 30 календарных дней с даты получения отзыва, за исключением случаев, когда дальнейшая обработка допускается на иных законных основаниях (например, исполнение договора, обязательства по налоговому учёту и др.). Оператор обязан уведомить субъекта о результатах в течение 7 рабочих дней.
  24. СОГЛАСИЯ НА COOKIE И АНАЛИТИКУ. ПОРЯДОК ПОЛУЧЕНИЯ И ХРАНЕНИЯ
  25. 13.1. При первом посещении сайта пользователю показывается баннер/уведомление о cookie с возможностью дать согласие или настроить категории cookie.
  26. 13.2. Текст согласия: «Я даю согласие ООО «Робен Рус» на использование файлов cookie и обработку связанных с ними персональных данных (cookie, данные Яндекс.Метрики) в целях аналитики и улучшения работы сайта».
  27. 13.3. Срок действия согласия: 1 год с момента подтверждения; при необходимости продлевается повторным согласием.
  28. 13.4. Отзыв согласия возможен через настройки cookie на сайте либо направлением запроса на info@ryowa.ru; последствия отзыва разъясняются пользователю (вплоть до ограничения функционала).
  29. 13.5. Для использования инструментов записи сеансов (вебвизор) требуется явное информированное согласие, в котором разъясняется возможность записи взаимодействий и риски, связанные с идентифицируемыми данными.
  30. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРОЦЕДУРЫ
  31. 14.1. По достижении цели обработки либо по законному требованию субъекта ПД подлежат уничтожению либо обезличиванию.
  32. 14.2. Срок уничтожения: не более 30 календарных дней с момента наступления основания для уничтожения, если иное не предусмотрено федеральным законом.
  33. 14.3. Процедура уничтожения:
  • инициирование удаления ответственным лицом;
  • удаление записей из CRM;
  • очистка/перезапись резервных копий в соответствии с политикой резервного копирования;
  • физическое уничтожение материальных носителей при наличии таких;
  • составление акта уничтожения с подписью ответственного лица.
  • 14.4. Ответственные лица за процедуру уничтожения: назначаемые приказом руководителя Оператора (ФИО и должность указываются в отдельном внутреннем документе).
  1. УВЕДОМЛЕНИЯ ОБ ИНЦИДЕНТАХ БЕЗОПАСНОСТИ (24/72 ЧАСА)
  2. 15.1. В случае выявления инцидента, связанного с нарушением безопасности ПД, Оператор:
  • в течение 24 часов с момента обнаружения уведомляет Роскомнадзор о факте инцидента и предварительной информации;
  • в течение 72 часов с момента обнаружения уведомляет пострадавших субъектов ПД о факте инцидента, возможных последствиях и мерах, принятых для устранения последствий, а также направляет результаты внутреннего расследования по возможности в эти же сроки;
  • инициирует внутреннее расследование и фиксирует все действия в журнале инцидентов.
  • 15.2. Ответственное лицо за реакцию на инциденты указывается в внутреннем регламенте (ФИО, должность, контакты).
  1. МЕРА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (ТЕХНИЧЕСКИЕ, ОРГАНИЗАЦИОННЫЕ, ПРАВОВЫЕ)
  2. 16.1. Технические меры: HTTPS (TLS 1.2+), хеширование паролей, разграничение прав доступа, резервное копирование, антивирус, межсетевые экраны, журналирование доступа, шифрование при хранении критичных данных, регулярное тестирование на уязвимости.
  3. 16.2. Организационные меры: назначение ответственного, инструкции и регламенты по обработке ПД, обучение сотрудников, контроль доступа, журналы учёта, внутренние аудиты.
  4. 16.3. Правовые меры: договоры с обработчиками (ст. 6 ч.3 152‑ФЗ), включение обязательств о неразглашении в трудовые договоры и договоры с контрагентами.
  5. ОТВЕТСТВЕННОСТЬ И ШТРАФЫ (АКТУАЛЬНО НА 30.05.2025 / УТОЧНЁННО НА 13.05.2026)
  6. 17.1. Административные санкции за нарушения в сфере ПД (избранные положения ст. 13.11 КоАП РФ):
  • обработка ПД без правового основания: штраф для юрлиц — от 100 000 до 300 000 руб.;
  • обработка ПД без требуемого письменного согласия (когда требуется): штраф для юрлиц — от 300 000 до 700 000 руб., при повторном нарушении — от 1 000 000 до 1 500 000 руб.;
  • отсутствие опубликованной политики ПД: штраф для юрлиц — от 60 000 до 100 000 руб.;
  • непредоставление субъекту информации об обработке ПД: штраф для юрлиц — от 80 000 до 200 000 руб.;
  • нарушение сроков реагирования на требования субъектов: штраф для юрлиц — от 90 000 до 200 000 руб.;
  • необеспечение сохранности ПД при неавтоматизированной обработке, повлёкшее утрату/неправомерный доступ: штраф для юрлиц — от 100 000 до 200 000 руб.;
  • нарушение требований о локализации баз ПД: штраф для юрлиц — от 2 000 000 до 6 000 000 руб., при повторном нарушении — от 6 000 000 до 18 000 000 руб.;
  • нарушение порядка уведомления Роскомнадзора об инцидентах: штраф для юрлиц — от 1 000 000 до 3 000 000 руб.;
  • незаконная передача ПД, повлёкшая утечку: штраф для юрлиц — от 3 000 000 до 5 000 000 руб. за первичное нарушение, до 15 000 000 руб. при повторном.
  • 17.2. Указанные суммы приведены для информации и соответствуют действующим нормативным положениям на момент обновления Политики; Оператор обязуется отслеживать изменения законодательства и обновлять Политику.
  1. МЕССЕНДЖЕРЫ (Telegram, WhatsApp и аналоги) — ПРАВИЛА И ОГРАНИЧЕНИЯ
  2. 18.1. На сайте размещены ссылки и кнопки для связи через мессенджеры Telegram и WhatsApp. Мессенджеры не являются защищённым каналом передачи персональных данных в смысле ст. 19 152‑ФЗ.
  3. 18.2. Категорически запрещено передавать через мессенджеры следующие категории данных: паспортные данные, медицинские сведения, платёжные реквизиты (полные номера карт, CVV), биометрические данные, специальные категории персональных данных. Передача таких данных через мессенджеры без специального регламента и шифрования считается нарушением мер безопасности и может влечь ответственность по ч. 6 ст. 13.11 КоАП РФ.
  4. 18.3. Правила использования мессенджеров:
  • Мессенджеры применяются только для оперативной переписки и предварительных консультаций;
  • Для передачи конфиденциальных документов сотрудник предлагает защищённый канал (HTTPS‑форма на сайте, личный кабинет, зашифрованный e‑mail или личная встреча);
  • Сотрудники обязаны предупредить клиента о рисках и зафиксировать отказ клиента от использования защищённого канала (если клиент настаивает на мессенджере).
  • 18.4. При поступлении через мессенджер запрещённых данных сотрудник немедленно уведомляет ответственного за ПД и инициирует перевод коммуникации в защищённый канал; запрещённые данные удаляются из переписки и фиксируются актом.
  1. ПЕРЕДАЧА ДАННЫХ ТРЕТИМ ЛИЦАМ (ОБРАБОТЧИКАМ)
  2. 19.1. Оператор не продаёт персональные данные третьим лицам в коммерческих целях.
  3. 19.2. Передача ПД третьим лицам допускается только при наличии правового основания и договора поручения/обработки, содержащего требования по защите ПД (ст. 6 ч.3 152‑ФЗ).
  4. 19.3. Перечень обработчиков и цели передачи указываются в приложении к внутренним регламентам; к публичной информации относятся: Яндекс (в целях аналитики) — cookies, данные о посещениях и технические характеристики (см. раздел 8).
  5. ЖУРНАЛЫ И УЧЁТ СОГЛАСИЙ
  6. 20.1. Оператор ведёт учёт полученных согласий: дата, время, содержание согласия, источник получения (форма/баннер/договор). Согласия хранятся не менее 3 лет после их получения.
  7. 20.2. Изменения или отзыв согласия фиксируются и учитываются при обработке.
  8. ПОРЯДОК РАЗРЕШЕНИЯ СПОРОВ И ОБРАЩЕНИЙ
  9. 21.1. До обращения в суд субъект обязан направить письменную претензию на e‑mail info@ryowa.ru или по почте на юридический адрес. Ответ на претензию даётся в течение 30 календарных дней.
  10. 21.2. Субъект вправе обращаться в Роскомнадзор или в суд по месту нахождения Оператора.
  11. ПОРЯДОК ИЗМЕНЕНИЯ ПОЛИТИКИ
  12. 22.1. Политика действует бессрочно до её замены новой редакцией.
  13. 22.2. При внесении существенных изменений Оператор публикует новую редакцию на сайте не менее чем за 7 календарных дней до вступления изменений в силу; уведомление об изменениях также может направляться субъектам ПД при наличии у Оператора их контактов. Под существенными изменениями понимаются: изменение целей обработки, расширение перечня обрабатываемых категорий ПД, изменение перечня получателей/обработчиков.
  14. 22.3. Продолжение использования сайта после вступления в силу изменений означает согласие субъекта с новой редакцией.
  15. ДОПОЛНИТЕЛЬНЫЕ ПОЛОЖЕНИЯ И ВНУТРЕННИЕ РЕГЛАМЕНТЫ
  16. 23.1. Внутренние регламенты Оператора (назначение ответственных лиц, порядок реагирования на инциденты, порядок уничтожения, доступ сотрудников) содержат детализированные процедуры, ответственных лиц и контрольные сроки и доступны уполномоченным сотрудникам.
  17. 23.2. Контакты ответственного за обработку ПД (ФИО, должность, контакт) и перечень ответственных лиц за реагирование на инциденты указываются в отдельном внутреннем документе.
  18. КОНТАКТЫ ДЛЯ СВЯЗИ
  19. E‑mail: info@ryowa.ru
  20. Юридический адрес: 197348, город Санкт-Петербург, Коломяжский пр‑кт, д. 18 литер А, помещ. 34‑н ком. 2
  21. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
  22. 25.1. К настоящей Политике и отношениям между Оператором и субъектом ПД применяется законодательство Российской Федерации.
  23. 25.2. Настоящая Политика доступна на сайте https://ryowa.ru/ по адресу: https://ryowa.ru/privacy (или другой URL, публикуемому Оператором).
  24. 25.3. Настоящая версия Политики утверждена руководителем ООО «Робен Рус» и вступает в силу с даты, указанной в начале документа.

Раздел: Мессенджеры — правила использования
  1. Наличие ссылок и предупреждение
  2. На сайте размещены ссылки и кнопки для связи через мессенджеры Telegram и WhatsApp для оперативной коммуникации. Пользователь информируется, что мессенджеры не являются защищённым каналом передачи персональных данных в смысле статьи 19 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»; использование мессенджеров для пересылки конфиденциальной информации осуществляется на риск пользователя.
  3. Запрещённые категории данных
  4. Категорически запрещается передавать через мессенджеры (Telegram, WhatsApp и аналоги) следующие категории персональных данных:
  • паспортные данные (серия, номер, данные страницы паспорта и иные идентификаторы паспорта);
  • медицинские данные и сведения о состоянии здоровья;
  • платёжные реквизиты (полные номера банковских карт, CVV/CVC, PIN‑коды, номера банковских счетов);
  • биометрические данные и иные специальные категории персональных данных;
  • иные сведения, раскрытие которых требует повышенной защиты согласно действующему законодательству.
  • Передача указанных категорий данных через мессенджеры без специального регламента и дополнительных мер защиты рассматривается как нарушение мер обеспечения безопасности персональных данных, предусмотренных ст. 19 ФЗ‑152, и может влечь административную ответственность по ч. 6 ст. 13.11 КоАП РФ.
  1. Обязанности сотрудников и порядок обработки сообщений в мессенджерах
  2. 3.1. Мессенджеры используются только для оперативных коммуникаций, первичных консультаций и согласования времени связи; сотрудники не инициализируют и не принимают через мессенджеры документы, содержащие запрещённые категории ПД.
  3. 3.2. При получении от пользователя через мессенджер сведений, подпадающих под перечень запрещённых, сотрудник обязан:
  • немедленно уведомить ответственного за обработку персональных данных;
  • запросить у пользователя перевод коммуникации в защищённый канал (см. пункт 4);
  • удалить запрещённые данные из переписки и зафиксировать факт их получения, принятые меры и удаление в журнале инцидентов;
  • при необходимости инициировать процедуру уведомления об инциденте в соответствии с внутренними регламентами (см. раздел «Уведомления об инцидентах»).
  • 3.3. Сотрудник обязан до начала переписки предупреждать пользователя (стандартная фраза): «Обращаем ваше внимание, что мессенджеры не являются защищённым каналом передачи персональных данных; не пересылайте через мессенджер паспортные, медицинские или платёжные данные».
  1. Перевод в защищённый канал — требования и варианты
  2. 4.1. При необходимости передачи документов или чувствительных сведений коммуникация переводится в один из следующих защищённых каналов:
  • заполнение защищённой формы на сайте (HTTPS) с принятием согласия;
  • личный кабинет на сайте с двухфакторной аутентификацией;
  • электронная почта с применением шифрования (S/MIME или PGP) и подтверждением получения;
  • передача документов лично в офисе или через курьерскую службу по предварительному соглашению.
  • 4.2. Сотрудник обязан предложить и осуществить перевод клиента в защищённый канал до получения чувствительных данных; в случае отказа клиента от перехода сотрудники фиксируют отказ и предупреждают клиента о рисках.
  1. Регистрация, журналирование и удаление информации из мессенджеров
  2. 5.1. Все случаи получения запрещённых или критичных данных через мессенджеры фиксируются в журнале инцидентов с указанием времени, ФИО клиента, содержания сообщения и принятых мер.
  3. 5.2. После фиксирования сотрудник обеспечивает удаление запрещённых данных из переписки и запроса на удаление у контрагента (если применимо). Действия фиксируются в акте удаления и в журнале.
  4. 5.3. Переписка в мессенджерах, содержащая служебную переписку (без запрещённых данных), хранится не дольше, чем это необходимо для исполнения служебных обязанностей, но не более 1 года, если иное не предусмотрено внутренними регламентами.
  5. Ответственность и дисциплинарные меры
  6. Нарушение настоящих правил сотрудниками влечёт дисциплинарную ответственность по трудовому законодательству и внутренним регламентам Оператора; в случае нарушения, повлёкшего утечку данных, возможны привлечение к административной ответственности по ч. 6 ст. 13.11 КоАП РФ и иные последствия, предусмотренные законодательством.
  7. Информирование пользователей
  8. 7.1. В Политике конфиденциальности публично размещается уведомление о рисках использования мессенджеров и инструкции по безопасной передаче данных; текст предупреждения дублируется в формах обратной связи и в автоответах мессенджера при первом контакте.
  9. 7.2. Рекомендуемая формулировка для сайта/формы/автоответа: «Внимание: мессенджеры (Telegram, WhatsApp) не являются защищёнными каналами передачи персональных данных. Не пересылайте паспортные, медицинские или платёжные данные через мессенджеры. Для передачи конфиденциальной информации используйте защищённую форму на сайте или e‑mail с шифрованием — info@ryowa.ru».
  10. Внедрение и аудит правил
  11. 8.1. Оператор обязуется разработать внутренний регламент по использованию мессенджеров, включающий обязанности сотрудников, инструкции по переводу коммуникаций в защищённые каналы, шаблоны уведомлений и форму для акта удаления.
  12. 8.2. Регулярные проверки соблюдения регламента проводятся не реже одного раза в год; результаты проверок фиксируются и при необходимости вносятся корректировки в Политику и внутренние регламенты.

Регламент по использованию мессенджеров (Telegram, WhatsApp и аналоги)
  1. Общие положения
  2. 1.1. На сайте размещены ссылки и кнопки для связи через мессенджеры Telegram и WhatsApp с целью быстрой оперативной коммуникации с пользователями.
  3. 1.2. Пользователь информируется, что мессенджеры не являются защищённым каналом передачи персональных данных в смысле статьи 19 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных». Передача конфиденциальных персональных данных через мессенджеры осуществляется на риск пользователя.
  4. Запрещённые категории данных при переписке в мессенджерах
  5. 2.1. Категорически запрещается передавать через мессенджеры следующие категории персональных данных:
  • паспортные данные (серия, номер, данные страницы паспорта и иные идентификаторы паспорта);
  • медицинские данные и сведения о состоянии здоровья;
  • платёжные реквизиты (полные номера банковских карт, CVV/CVC, PIN‑коды, номера банковских счетов);
  • биометрические данные и иные специальные категории персональных данных;
  • иные сведения, раскрытие которых требует повышенной защиты согласно действующему законодательству.
  • 2.2. Передача указанных данных через мессенджеры без регламента и дополнительных мер защиты рассматривается как нарушение мер обеспечения безопасности персональных данных (ст. 19 ФЗ‑152) и может повлечь административную ответственность по ч. 6 ст. 13.11 КоАП РФ.
  1. Предупреждение пользователей и стандартные формулировки
  2. 3.1. Перед началом переписки сотрудник обязан направить пользователю стандартное предупреждение или иметь в автосообщении следующий текст:
  3. «Внимание: мессенджеры (Telegram, WhatsApp) не являются защищённым каналом передачи персональных данных. Не пересылайте паспортные, медицинские или платёжные данные через мессенджеры. Для передачи конфиденциальной информации используйте защищённую форму на сайте, личный кабинет или e‑mail с шифрованием — info@ryowa.ru».
  4. 3.2. Рекомендуется установить этот текст как автоответ при первом контакте через мессенджер.
  5. Разрешённый объём данных в мессенджерах
  6. 4.1. В мессенджерах допускается обмен общей информацией, предварительными уточнениями, согласованием времени выезда специалистов, подтверждением получения заявки и иными сведениями, не относящимися к запрещённым категориям.
  7. 4.2. При необходимости передачи чувствительных сведений обязательна предварительная передача в защищённый канал (см. п. 5).
  8. Перевод коммуникации в защищённый канал (обязательное действие)
  9. 5.1. Если пользователь намерен передать документы или сведения, подпадающие под повышенную защиту, сотрудник обязан предложить и обеспечить перевод коммуникации в один из защищённых каналов:
  • защищённая HTTPS‑форма на сайте (с логированием и хранением в CRM);
  • личный кабинет с двухфакторной аутентификацией;
  • зашифрованный e‑mail (S/MIME или PGP) с подтверждением получения;
  • личная встреча или передача через курьерскую службу по предварительному соглашению;
  • использование сервиса безопасной передачи документов, согласованного с ответственным за ПД.
  • 5.2. Сотрудник фиксирует предложение перевода и решение клиента (согласие/отказ) в CRM или журнале переписки.
  1. Действия сотрудника при получении запрещённых данных через мессенджер
  2. 6.1. При получении от пользователя запрещённых данных сотрудник обязан:
  • немедленно уведомить ответственного за обработку персональных данных;
  • запросить перевод коммуникации в защищённый канал;
  • удалить запрещённые данные из переписки (при технической возможности) либо скрыть/сделать недоступными в служебном интерфейсе;
  • зафиксировать факт получения, принятые меры и удаление в журнале инцидентов (указать время, ФИО клиента, канал, краткое содержание и принимавшие меры лица);
  • при необходимости инициировать процедуру уведомления об инциденте (уведомление Роскомнадзора в течение 24 часов, уведомление пострадавших — в течение 72 часов).
  • 6.2. Если удаление невозможно (архивы, резервные копии), сотрудник обязан немедленно доложить ответственному и выполнить действия по обезличиванию/удалению в сроки, предусмотренные внутренним регламентом.
  1. Журналирование, хранение и удаление переписки
  2. 7.1. Все случаи получения запрещённых данных и инциденты фиксируются в журнале инцидентов; журнал содержит дату/время, ФИО клиента, канал (Telegram/WhatsApp), краткое содержание сообщения, предпринятые меры и ответственного сотрудника.
  3. 7.2. Переписка, содержащая служебную информацию (без запрещённых данных), хранится не дольше, чем это необходимо для исполнения служебных обязанностей, но не более 1 года, если иное не предусмотрено внутренними регламентами.
  4. 7.3. После фиксации инцидента запрещённые данные удаляются и составляется акт удаления; копии в резервных системах помечаются для удаления при первой возможности в рамках политики резервного копирования.
  5. Автоответы и шаблоны сообщений (рекомендуется внедрить)
  6. 8.1. Шаблон автоответа при первом контакте:
  7. «Спасибо за обращение! Внимание: мессенджеры не являются защищённым каналом передачи персональных данных. Не пересылайте паспортные, медицинские или платёжные данные. Для передачи конфиденциальной информации используйте защищённую форму на сайте или e‑mail с шифрованием — info@ryowa.ru.»
  8. 8.2. Шаблон ответа при запросе клиента переслать документ:
  9. «Для безопасности ваших данных мы не можем принять паспорт/платёжные реквизиты в мессенджере. Пожалуйста, перейдите по защищённой ссылке: [ссылка] или отправьте документ на зашифрованный e‑mail: info@ryowa.ru.»
  10. Контроль доступа и обучение сотрудников
  11. 9.1. Доступ к учётным записям мессенджеров предоставляется только уполномоченным сотрудникам с оформленной мотивацией и инструкциями.
  12. 9.2. Сотрудники, работающие с мессенджерами, проходят инструктаж при приёме на работу и ежегодное обучение по правилам обработки ПД, процедурам перевода клиентов в защищённые каналы и действиям при инцидентах.
  13. 9.3. Несоблюдение регламента влечёт дисциплинарную ответственность в соответствии с трудовым законодательством и внутренними правилами.
  14. Ответственность и санкции
  15. 10.1. Нарушение правил обработки ПД в мессенджерах сотрудниками может повлечь дисциплинарную, административную и иную ответственность (включая ответственность организации по ч. 6 ст. 13.11 КоАП РФ при утечке данных).
  16. 10.2. Оператор оставляет за собой право применять меры вплоть до увольнения за грубое нарушение регламента.
  17. Информирование пользователей и публикация
  18. 11.1. Уведомление о рисках использования мессенджеров и правилах безопасной передачи данных размещается публично в Политике конфиденциальности и дублируется в формах обратной связи и в автоответах мессенджеров.
  19. 11.2. Рекомендуемая публичная формулировка: «Мессенджеры (Telegram, WhatsApp) не являются защищёнными каналами передачи персональных данных. Не пересылайте паспортные, медицинские или платёжные данные через мессенджеры. Для передачи конфиденциальной информации используйте защищённую форму на сайте или e‑mail с шифрованием — info@ryowa.ru.»
  20. Внедрение регламента и аудит
  21. 12.1. Регламент утверждается приказом руководителя и вводится в действие с назначением ответственного лица за исполнение.
  22. 12.2. Проверки соблюдения регламента проводятся не реже одного раза в год; по результатам проверки формируется отчёт и при необходимости вносятся корректировки.
  23. Приложения (шаблоны и журналы) — примерный список для внедрения
  • Шаблон автоответа;
  • Шаблон запроса на перевод в защищённый канал;
  • Форма акта удаления запрещённых данных;
  • Журнал инцидентов по мессенджерам;
  • Инструкция сотруднику (короткая чек‑листа на 1 лист).
Если хотите, могу сразу:
  • подготовить готовый краткий автоответ для Telegram/WhatsApp под Ryowa (одна строка + ссылка на Политику); или
  • сгенерировать одностраничный чек‑лист (PDF/HTML) для сотрудников с пошаговой процедурой при получении запрещённых данных; или
  • подготовить шаблон акта удаления и CSV‑шаблон журнала инцидентов для импорта в CRM.


ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
  1. Данные, предоставляемые субъектом персональных данных - Не собираются.
  2. Персональные данные, собираемые автоматически
  • Идентификаторы и сведения об использовании веб-сайта, собираемые посредством сервиса веб-аналитики Яндекс.Метрика.
  • Технические данные о посещении сайта и действиях пользователя в пределах сайта, собираемые автоматически.
  1. Персональные данные, получаемые из сторонних сервисов
  • Данные, получаемые из сервиса Яндекс.Метрика.
  • Данные из сторонних сервисов, используемых для работы аккаунтов.

Цель обработки

Правовое основание

Категории ПДн

Срок хранения

1

Заключение и исполнение договора на поставку дымоходов и комплектующих, оформление заявки, согласование объёма и сроков поставки, обратная связь по договору

п. 5 ч. 1 ст. 6 152-ФЗ

ФИО, телефон, email, адрес объекта, содержание обращения, иные сведения, указанные в форме заявки

5 лет после исполнения договора

2

Обработка обращений, запросов и сообщений, направленных через формы сайта, включая консультации и предварительный расчёт стоимости

п. 1 ч. 1 ст. 6 152-ФЗ

ФИО, телефон, email, содержание обращения, иные сведения, указанные в форме

3 года

3

Направление маркетинговых и информационных рассылок о продукции, акциях и специальных предложениях

п. 1 ч. 1 ст. 6 152-ФЗ

ФИО, email, телефон

до отзыва согласия

4

Анализ поведения пользователей на сайте, улучшение качества сервиса, удобства сайта и эффективности страниц с использованием Яндекс.Метрики и Вебвизора

п. 1 ч. 1 ст. 6 152-ФЗ

cookies, IP-адрес, сведения о действиях на сайте, идентификаторы сеанса, данные о посещении страниц

2 года

5

Создание и использование учётных записей пользователей на сайте, предоставление доступа к личному кабинету и его функциям

п. 5 ч. 1 ст. 6 152-ФЗ

ФИО, телефон, email, логин, пароль, сведения об учётной записи

3 года после удаления учётной записи

6

Ведение бухгалтерского и налогового учёта, оформление счетов, актов и платёжных документов

п. 2 ч. 1 ст. 6 152-ФЗ

ФИО, телефон, email, адрес, платёжные реквизиты, сведения о договоре и оплате

5 лет

7

Исполнение обязанностей, предусмотренных законодательством Российской Федерации, включая хранение и предоставление сведений по запросам уполномоченных органов

п. 2 ч. 1 ст. 6 152-ФЗ

ФИО, телефон, email, адрес, данные договора, сведения об оплате, иные сведения, подлежащие предоставлению

в сроки, установленные законодательством Российской Федерации

Оператор не продаёт и не передаёт персональные данные третьим лицам в коммерческих целях, не связанных с оказанием услуг субъектам. Оператор заключает с третьими лицами, которым поручается обработка персональных данных, договоры поручения на обработку в соответствии со ст. 6 ч. 3 Федерального закона № 152-ФЗ.
СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор обеспечивает хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных (ч. 7 ст. 5 Федерального закона № 152-ФЗ).

Категория данных

Срок хранения

Основание

Данные клиентов (ФИО, контактные данные, адрес)

3 (три) года с момента прекращения договорных отношений

ст. 196 ГК РФ (общий срок исковой давности)

Данные подписчиков рассылки (email, имя)

До момента отзыва согласия субъектом

ч. 2 ст. 9 Федерального закона № 152-ФЗ

Данные учётных записей

На протяжении срока действия учётной записи и 3 (три) года после её удаления

ст. 196 ГК РФ

Файлы cookie (техническое)

До 2 (двух) лет в зависимости от типа cookie

Определяется провайдером cookie в соответствии с целью обработки

Данные журналов доступа (IP-адрес, дата, время)

1 (один) год

ч. 2 ст. 19 Федерального закона № 152-ФЗ (обеспечение безопасности)

Записи о согласиях на обработку ПДн

3 (три) года с момента получения согласия

ст. 196 ГК РФ (обязанность подтвердить факт получения согласия)


ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ
Настоящий документ действует бессрочно до замены его новой редакцией.
Оператор вправе вносить изменения в настоящий документ. При внесении существенных изменений Оператор уведомляет Пользователей путём размещения новой редакции на сайте не менее чем за 7 (семь) календарных дней до вступления изменений в силу.
К существенным изменениям относятся: изменение целей обработки, расширение категорий обрабатываемых персональных данных, изменение перечня третьих лиц, которым передаются персональные данные, изменение порядка реализации прав субъектов.
Продолжение использования Сервиса после вступления в силу изменений означает принятие Пользователем новой редакции настоящего документа.
Предыдущие редакции документа хранятся Оператором и предоставляются по запросу субъекта персональных данных.
Дата последнего обновления указана в начале настоящего документа.



Контактная информация Оператора
Оператор персональных данных:
Общество с ограниченной ответственностью «Робен Рус»
ОГРН: 1177847356851
ИНН/КПП: 7814710450 / 781401001
Электронная почта для обращений: m.kabanov@impceramic.com