Политика конфиденциальности и обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ИП Захаров В.А. (далее — «Оператор»).

1.2. Оператор ставит своей важнейшей целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, включая защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая Политика применяется ко всей информации, которую Оператор может получить о посетителях веб-сайтов irbr.ru и ирбр.рф (далее — «Сайты»).

1.4. Все собираемые персональные данные хранятся и обрабатываются исключительно на территории Российской Федерации. Трансграничная передача не осуществляется.

2. Основные понятия

2.1. Автоматизированная обработка персональных данных — обработка с помощью средств вычислительной техники.

2.2. Веб-сайт — совокупность материалов и программ, доступных по адресам irbr.ru и ирбр.рф.

2.3. Обработка персональных данных — любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

2.4. Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).

2.5. Пользователь — посетитель Сайтов.

2.6. Cookie — небольшой текстовый файл, сохраняемый Сайтом в браузере Пользователя для обеспечения функциональности и/или аналитики.

2.7. Согласие — конкретное, информированное и сознательное волеизъявление субъекта ПДн на обработку его данных, предоставляемое в форме, предусмотренной 152-ФЗ.

3. Категории субъектов и категории персональных данных

3.1. Категории субъектов ПДн

• посетители Сайтов, заполнившие формы обратной связи или подписки;
• заказчики услуг ИРБР (физические лица и контактные лица юридических лиц);
• контрагенты (поставщики, подрядчики, партнёры);
• соискатели (кандидаты на трудоустройство и подрядное сотрудничество).

3.2. Категории персональных данных

• Идентификационные: фамилия, имя, отчество.
• Контактные: адрес электронной почты, номер телефона, мессенджеры (Telegram).
• Деловые: название компании, должность, реквизиты (для юридических лиц).
• Технические (автоматически собираемые): IP-адрес, User-Agent, реферер, страницы посещения, время визита, действия в интерфейсе (через cookie и системы аналитики).
• Содержание обращения: текст сообщения, прикреплённые файлы.

Специальные и биометрические категории ПДн Оператор не обрабатывает.

4. Источники получения данных

• от субъекта ПДн непосредственно — через формы на Сайтах, по электронной почте, в мессенджерах, по телефону;
• автоматически при посещении Сайтов — посредством cookie, веб-серверных логов и систем веб-аналитики;
• из общедоступных источников — реестры ФНС, ЕГРЮЛ/ЕГРИП (в отношении контактных лиц юридических лиц).

5. Правовые основания обработки (ст. 6 152-ФЗ)

5.1. Обработка персональных данных Оператором ведётся исключительно при наличии хотя бы одного из оснований, исчерпывающим образом перечисленных в части 1 статьи 6 Федерального закона № 152-ФЗ:

• п. 1 ч. 1 ст. 6 — согласие субъекта ПДн на обработку его персональных данных в одной или нескольких конкретных целях (применяется при заполнении форм обратной связи, оформлении подписки на рассылку, регистрации в личном кабинете, согласии на cookie-аналитику);
• п. 2 ч. 1 ст. 6 — обработка необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления возложенных на Оператора функций, полномочий и обязанностей;
• п. 3 ч. 1 ст. 6 — обработка необходима для осуществления правосудия, исполнения судебного акта;
• п. 4 ч. 1 ст. 6 — обработка необходима для исполнения полномочий органов государственной власти (применяется при ответах на официальные запросы);
• п. 5 ч. 1 ст. 6 — обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем (применяется при заключении договоров на оказание IT-услуг);
• п. 6 ч. 1 ст. 6 — обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно (витальные интересы);
• п. 7 ч. 1 ст. 6 — обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что не нарушаются права и свободы субъекта ПДн (применяется для защиты от автоматизированных атак, агрегированной аналитики посещаемости);
• п. 8 ч. 1 ст. 6 — обработка персональных данных, доступ к которым неограниченного круга лиц предоставлен субъектом ПДн (например, общедоступные сведения из ЕГРЮЛ/ЕГРИП в отношении контактных лиц юридических лиц);
• п. 11 ч. 1 ст. 6 — исполнение обязанностей, возложенных законодательством РФ (бухгалтерский и налоговый учёт по НК РФ и ФЗ «О бухгалтерском учёте» № 402-ФЗ).

5.2. Согласие субъекта ПДн оформляется в любой позволяющей подтвердить факт его получения форме (ч. 1 ст. 9 152-ФЗ): отметка в чек-боксе при отправке формы, проставление согласия в cookie-баннере, направление сообщения с подтверждением. Оператор обеспечивает хранение доказательств факта получения согласия в течение всего срока обработки и трёх лет после её прекращения.

6. Цели обработки персональных данных

В соответствии с принципом минимизации (ч. 5 ст. 5 152-ФЗ) обработка ПДн ограничена достижением конкретных, заранее определённых и законных целей. Сводная таблица «цель → категории данных → срок хранения → правовое основание»:

Цель обработки	Категории ПДн	Срок хранения	Правовое основание
Информирование Пользователя, ответ на обращения, отправка коммерческого предложения, маркетинговые коммуникации	ФИО, email, телефон, мессенджер, содержание обращения, web-vitals	3 года с момента последнего контакта или до отзыва согласия	п. 1 ч. 1 ст. 6 152-ФЗ (согласие)
Заключение и исполнение договоров возмездного оказания услуг (DevOps-аутсорсинг, мониторинг, администрирование)	ФИО, email, телефон, должность, реквизиты юр. лица или ИП	5 лет с момента прекращения договора (НК РФ, ФЗ № 402-ФЗ)	п. 5 ч. 1 ст. 6 152-ФЗ (исполнение договора)
Бухгалтерский и налоговый учёт, выставление счетов, акты, подписание УПД через ЭДО	ФИО, ИНН, реквизиты, банковские данные, КЭП	5 лет (ст. 23 НК РФ); по отдельным категориям — до 75 лет (архивный закон)	п. 11 ч. 1 ст. 6 152-ФЗ (требование закона)
Веб-аналитика и улучшение Сайтов (Яндекс.Метрика 57391027, агрегированная статистика, web-vitals: LCP, INP, CLS, TTFB)	IP-адрес (анонимизированный), User-Agent, страницы посещения, время сессии, реферер, разрешение экрана	До 24 месяцев (срок жизни cookies _ym_*); сводные отчёты — без срока	п. 1 ч. 1 ст. 6 152-ФЗ (согласие через cookie-баннер) + п. 7 ч. 1 ст. 6 (законные интересы)
Защита от автоматизированных атак, мониторинг информационной безопасности, расследование инцидентов	IP-адрес, User-Agent, журналы веб-сервера (access/error logs), временные метки, маршрут запросов	12 месяцев (ротация серверных логов)	п. 7 ч. 1 ст. 6 152-ФЗ (законные интересы)
Подбор персонала и подрядчиков, рассмотрение откликов на вакансии	ФИО, email, телефон, резюме, ссылки на портфолио	1 год с момента получения, далее — обезличивание или уничтожение	п. 1 ч. 1 ст. 6 152-ФЗ (согласие)
Защита прав и законных интересов Оператора в досудебном и судебном порядке	Любые ПДн, относящиеся к спорной ситуации, переписка	До истечения срока исковой давности + 1 год	п. 7 ч. 1 ст. 6 152-ФЗ (законные интересы)

Подробная информация об автоматически собираемых данных изложена в Политике использования файлов cookie.

7. Условия обработки

7.1. Обработка осуществляется при наличии согласия субъекта ПДн либо иного законного основания, перечисленного в разделе 5.

7.2. Обработка данных через cookie и Яндекс.Метрику осуществляется на основании отдельного согласия, выражаемого через cookie-баннер при первом посещении Сайтов. Согласие может быть отозвано в любой момент через ссылку «Настройки cookie» в подвале сайта.

7.3. Согласие на обработку ПДн может быть отозвано путём направления соответствующего запроса на privacy@irbr.ru.

8. Порядок обработки, сроки хранения и локализация (ст. 18 152-ФЗ)

8.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования. Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 152-ФЗ).

8.2. Сроки хранения по типам данных:

• Контактные данные из форм обратной связи (ФИО, email, телефон, текст обращения) — не более 3 (трёх) лет с момента последнего обращения, если иной срок не установлен законом или согласием субъекта ПДн;
• Договорные документы и сопутствующая переписка — 5 лет с момента прекращения договорных отношений в соответствии со ст. 23 Налогового кодекса РФ и ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;
• Документы по личному составу и кадровые документы (применительно к подрядчикам по ГПХ) — до 50 лет (создан после 2003 г.) или 75 лет (создан до 2003 г.) в соответствии с приказом Росархива от 20.12.2019 № 236;
• Журналы веб-сервера (access.log, error.log, audit.log) — не более 12 (двенадцати) месяцев, используются для целей информационной безопасности и устранения инцидентов;
• Cookie аналитики (_ym_uid, _ym_d, _ym_visorc и др.) — до 24 месяцев или до отзыва согласия / очистки браузера;
• Резервные копии — до 90 дней с момента создания (ротация); ПДн в резервных копиях не используются для иных целей и подлежат уничтожению вместе с истечением срока хранения резервной копии.

8.3. Локализация (ч. 5 ст. 18 152-ФЗ). Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются исключительно с использованием баз данных, находящихся на территории Российской Федерации. Серверы Оператора (физический хостинг и резервные копии) расположены в дата-центрах Российской Федерации (Москва). Оператор не осуществляет трансграничную передачу персональных данных в значении ст. 12 152-ФЗ. Уведомление о начале обработки ПДн (либо позиция «обработка без уведомления» при наличии оснований ч. 2 ст. 22 152-ФЗ) направлено в Роскомнадзор.

8.4. Для веб-аналитики используется Яндекс.Метрика (счётчик 57391027); оператор сервиса — ООО «ЯНДЕКС», 119021, г. Москва, ул. Льва Толстого, д. 16, ОГРН 1027700229193. Все собираемые Метрикой данные хранятся и обрабатываются исключительно на территории Российской Федерации.

8.5. По истечении срока хранения или при отзыве согласия / достижении цели обработки персональные данные подлежат уничтожению (если законом не установлена обязанность дальнейшего хранения) или обезличиванию (приведению в форму, не позволяющую без использования дополнительной информации определить субъекта ПДн). Уничтожение оформляется актом по форме, утверждённой локальным актом Оператора.

9. Перечень действий с ПДн

9.1. Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

9.2. Передача третьим лицам осуществляется в случаях, предусмотренных законом, или при наличии согласия субъекта ПДн (см. раздел 10).

10. Передача третьим лицам

10.1. Оператор не продаёт, не сдаёт в аренду и не передаёт персональные данные в коммерческих целях.

10.2. Передача допускается только в следующих случаях:

• исполнение требований закона (по запросу уполномоченных государственных органов);
• работа с подрядчиками, обеспечивающими функционирование сервиса (хостинг, доменный регистратор, email-сервис, платёжные системы) — на основании заключённых договоров с условиями о конфиденциальности;
• защита прав Оператора в судебном или досудебном порядке;
• с прямого согласия субъекта ПДн.

10.3. Список основных контрагентов, имеющих ограниченный доступ к ПДн в части обеспечения функционирования сервиса:

• ООО «ЯНДЕКС» — Яндекс.Метрика (статистика посещаемости);
• хостинг-провайдеры и операторы дата-центров на территории РФ;
• операторы платёжных систем (по реквизитам, фигурирующим в платёжных документах).

11. Меры защиты персональных данных (Постановление Правительства РФ № 1119)

11.1. Оператор обеспечивает безопасность персональных данных в соответствии с требованиями ст. 19 152-ФЗ, Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России № 21 (от 18.02.2013) и Приказа ФСБ России № 378 (от 10.07.2014). С учётом видов обрабатываемых ПДн, отсутствия специальных и биометрических категорий ПДн и количества субъектов, информационной системе ИП Захаров В.А. соответствует 4-й уровень защищённости (УЗ-4) по постановлению № 1119.

11.2. Правовые меры:

• назначение ответственного за организацию обработки ПДн (приказом руководителя ИП);
• издание Политики обработки ПДн, Положения об обработке ПДн, Регламента доступа к ПДн, Инструкции по реагированию на инциденты;
• включение в трудовые договоры и договоры ГПХ обязательств о неразглашении ПДн;
• уведомление Роскомнадзора об обработке ПДн (или применение оснований ч. 2 ст. 22 152-ФЗ).

11.3. Организационные меры:

• ограничение доступа к ПДн по принципу минимально необходимых привилегий (least privilege);
• учёт носителей ПДн и контроль их перемещения;
• журналирование (логирование) действий пользователей с ПДн и периодический аудит;
• проведение внутренних проверок не реже 1 раза в год;
• обучение и информирование сотрудников и подрядчиков в области ИБ;
• контроль соблюдения процедуры обработки персональных данных при привлечении подрядчиков (по ст. 6 ч. 3 152-ФЗ — на основании договора с условиями о конфиденциальности).

11.4. Технические меры (соответствуют составу мер для УЗ-4 по приказу ФСТЭК № 21):

• идентификация и аутентификация пользователей (стойкие пароли, обязательная двухфакторная аутентификация для административного доступа);
• разграничение доступа (RBAC) на уровне ОС, СУБД и приложений;
• шифрование канала передачи данных по TLS 1.2+ / TLS 1.3 с использованием современных шифронаборов; для персональных данных, передаваемых по открытым каналам связи, при необходимости применяются СКЗИ, имеющие подтверждение соответствия требованиям ФСБ России (СКЗИ класса КС1 / КС2 в соответствии с приказом ФСБ № 378);
• защита от несанкционированного доступа на уровне периметра (Web Application Firewall, IDS/IPS, fail2ban, rate-limiting);
• защита от вредоносного кода (антивирусные средства, хеш-контроль целостности);
• регистрация событий безопасности (SIEM, журналы access/error/audit);
• резервное копирование с шифрованием и хранение копий территориально-разнесённо в РФ; восстановление по RPO ≤ 24 часа, RTO ≤ 4 часа для критических систем;
• своевременная установка обновлений безопасности и аудит используемого ПО (уязвимости класса CVE);
• контроль целостности (file integrity monitoring), межсетевое экранирование на уровне виртуальной инфраструктуры.

11.5. Серверы, на которых размещены информационные системы ПДн, расположены в дата-центрах на территории Российской Федерации (соответствие требованию локализации ч. 5 ст. 18 152-ФЗ).

11.6. При обнаружении инцидента, в результате которого нарушена защищённость ПДн, Оператор не позднее 24 часов уведомляет Роскомнадзор о факте инцидента и не позднее 72 часов — о результатах внутреннего расследования и принятых мерах (ч. 3.1 ст. 21 152-ФЗ).

12. Файлы cookie и веб-аналитика

12.1. Использование файлов cookie

Сайты используют файлы cookie для обеспечения функциональности (сохранение темы оформления, согласия cookie) и аналитики (агрегированная статистика посещаемости). Подробная информация представлена в Политике использования файлов cookie.

12.2. Яндекс.Метрика (счётчик 57391027)

На Сайтах используется Яндекс.Метрика — сервис анализа посещаемости от ООО «ЯНДЕКС». Счётчик подгружается только при наличии вашего согласия в категории «Аналитика».

• Идентификатор счётчика: 57391027
• Анонимизация IP: включена; полный IP-адрес не сохраняется в отчётах Метрики;
• Webvisor (запись действий мыши): по умолчанию отключён; не активируется без отдельного явного согласия;
• Передача в РФ: данные обрабатываются и хранятся исключительно на территории Российской Федерации (см. политику конфиденциальности Яндекс);
• Глобальный отказ: расширение «Yandex Metrica Opt-Out» — yandex.ru/support/metrica/general/opt-out.html;
• Локальный отказ: переключатель «Аналитика» в настройках cookie на этом сайте (ссылка «Настройки cookie» в подвале).

Полный перечень собираемых Метрикой данных: yandex.ru/support/metrica/ru/code/data-collected. Условия использования: yandex.ru/legal/metrica_agreement/.

13. Права субъекта персональных данных (ст. 14, 17, 20, 21 152-ФЗ)

13.1. Субъект персональных данных в соответствии с главой 3 Федерального закона № 152-ФЗ обладает следующими правами:

• Право на доступ к своим ПДн (ст. 14 152-ФЗ). Получать от Оператора информацию, касающуюся обработки своих ПДн, в том числе содержащую: подтверждение факта обработки; правовые основания и цели обработки; цели и применяемые Оператором способы обработки; наименование и местонахождение Оператора; сведения о лицах (за исключением сотрудников), которые имеют доступ к ПДн; обрабатываемые ПДн, относящиеся к субъекту, и источник их получения; сроки обработки и хранения; порядок осуществления субъектом прав; информацию об осуществлённой или о предполагаемой трансграничной передаче (отсутствует); наименование организации или ФИО лица, осуществляющих обработку ПДн по поручению Оператора;
• Право требовать уточнения, блокирования или уничтожения ПДн (ч. 1 ст. 14, ст. 21 152-ФЗ) в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Срок реагирования Оператора — не более 10 рабочих дней с момента получения запроса (ч. 1 ст. 20 152-ФЗ);
• Право отзыва согласия на обработку ПДн в любое время (ч. 2 ст. 9 152-ФЗ). Отзыв оформляется в свободной форме письменно либо через указанный в настоящей Политике адрес электронной почты. Оператор прекращает обработку и в течение 30 дней уничтожает ПДн, за исключением случаев, когда обработка может быть продолжена по основаниям, не требующим согласия (например, исполнение договора, требование закона);
• Право на обжалование действий или бездействия Оператора (ч. 1 ст. 17 152-ФЗ) в уполномоченном органе по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке;
• Право на возмещение убытков и компенсацию морального вреда в судебном порядке (ч. 2 ст. 17 152-ФЗ). Моральный вред, причинённый субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесённых субъектом ПДн убытков;
• Право на получение сведений о третьих лицах, которым ПДн были или будут предоставлены (ст. 14 152-ФЗ);
• Право возражать против обработки в случае обработки на основании п. 7 ч. 1 ст. 6 152-ФЗ (законные интересы) и право на запрет принятия решений, затрагивающих интересы субъекта, исключительно на основании автоматизированной обработки (ст. 16 152-ФЗ).

13.2. Порядок реализации прав. Для реализации перечисленных прав направьте письменный запрос на адрес privacy@irbr.ru либо на почтовый адрес Оператора (298112, Республика Крым, г. Феодосия, Ново-Московский пр-д, д. 45). Запрос должен содержать:

• ФИО субъекта ПДн (полностью);
• номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе (ч. 3 ст. 14 152-ФЗ);
• сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (договор, переписка), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;
• конкретное содержание запроса (предоставление информации, уточнение, удаление, отзыв согласия, иное);
• подпись субъекта или его представителя; для электронной формы — простую электронную подпись (отправка с подтверждённого адреса) либо КЭП.

13.3. Срок ответа. Ответ предоставляется в форме, указанной субъектом, в срок, не превышающий 10 (десяти) рабочих дней с момента получения запроса (ч. 1 ст. 20 152-ФЗ). Срок может быть продлён, но не более чем на 5 рабочих дней, при необходимости получения дополнительных сведений с обязательным уведомлением субъекта.

13.4. Бесплатность. Реализация прав субъекта ПДн осуществляется бесплатно, за исключением случаев, когда такие запросы являются явно необоснованными или избыточными (в частности, в силу их повторяющегося характера).

14. Обращение в Роскомнадзор

Если вы считаете, что ваши права нарушены, вы можете обратиться в уполномоченный орган по защите прав субъектов персональных данных:

Роскомнадзор
Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2
Сайт: rkn.gov.ru
Электронная приёмная: rkn.gov.ru/treatments/ask-question/

15. Заключительные положения

15.1. Оператор вправе обновлять настоящую Политику. Актуальная редакция всегда находится по адресу irbr.ru/legal/privacy-policy/. О существенных изменениях Оператор уведомляет клиентов по электронной почте или размещает уведомление на Сайтах.

15.2. Вопросы по обработке персональных данных направляйте на privacy@irbr.ru.

15.3. Связанные документы: Политика cookie, Договор-оферта, Пользовательское соглашение, Реквизиты.