Политика обработки персональных данных
Документ разработан в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами Роскомнадзора.
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных Обществом с ограниченной ответственностью «Красофт» (далее — «Оператор») и принимаемые меры по обеспечению их безопасности.
1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 21.07.2014 № 242-ФЗ, Постановлением Правительства РФ от 01.11.2012 № 1119, приказами ФСТЭК России и ФСБ России.
1.3. Политика подлежит обязательному размещению в свободном доступе в информационно-телекоммуникационной сети «Интернет» в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ.
2. Сведения об Операторе
Общество с ограниченной ответственностью «Красофт»
- Юридический адрес
- 360001, Кабардино-Балкарская Республика, г. Нальчик, ул. Мечиева, зд. 207а, этаж 4
- ИНН
- 9705142730
- КПП
- 070001001
- ОГРН
- 1207700109165 (от 11 марта 2020 г.)
- Корпоративный сайт
- https://krasoft.ru
- Адрес Сервиса
- https://zakupki.krasoft.ru
- Телефон
- +7 (495) 540-55-99
- Электронная почта
- privacy@krasoft.ru
2.1. Оператор внесён в Реестр операторов, осуществляющих обработку персональных данных, в порядке, установленном ст. 22 Федерального закона № 152-ФЗ.
Запись в Реестре операторов Роскомнадзора
- Регистрационный номер
- 26-26-052889
- Основание внесения
- Приказ Роскомнадзора № 6 от 19 января 2026 г.
- Дата регистрации уведомления
- 29 декабря 2025 г.
- Дата начала обработки ПДн
- 11 марта 2020 г.
- Местонахождение БД
- Российская Федерация
2.2. В соответствии с ч. 1 ст. 18.1 Федерального закона № 152-ФЗ Оператором назначено лицо, ответственное за организацию обработки персональных данных:
- ФИО
- Кунижев Рустам Адальбиевич
- Телефон
- +7 (495) 540-55-99
- Почтовый адрес
- 360001, г. Нальчик, ул. Мечиева, зд. 207а, этаж 4
- Электронная почта
- info@krasoft.ru
3. Принципы обработки
Обработка персональных данных Оператором осуществляется на основе следующих принципов:
- законности и справедливости;
- ограничения обработки достижением конкретных, заранее определённых и законных целей;
- недопущения объединения баз данных, обработка которых ведётся в несовместимых целях;
- соответствия содержания и объёма обрабатываемых данных заявленным целям обработки;
- точности, достаточности, актуальности данных;
- хранения данных в форме, позволяющей определить субъекта, не дольше, чем требуется целями обработки;
- размещения баз данных, содержащих персональные данные граждан РФ, на территории Российской Федерации.
4. Субъекты и категории данных
4.1. Оператор обрабатывает персональные данные следующих категорий субъектов (в соответствии с записью в Реестре операторов Роскомнадзора № 26-26-052889):
- посетители сайта (анонимные пользователи, не прошедшие аутентификацию);
- клиенты — пользователи Сервиса «КРАСОФТ Поиск»;
- контрагенты и представители контрагентов;
- работники Оператора и уволенные работники;
- родственники работников Оператора.
4.2. Через сайт и Сервис «КРАСОФТ Поиск» Оператор собирает следующие персональные данные посетителей сайта:
- имя;
- адрес электронной почты;
- файлы cookie;
- сведения о действиях пользователя на сайте;
- сведения об оборудовании и браузере пользователя;
- IP-адрес;
- дата и время сессии;
- реферер (адрес предыдущей страницы).
4.3. Для клиентов Сервиса дополнительно обрабатываются:
- номер телефона;
- страна, город, регион;
- учётные данные (логин, хеш пароля, идентификаторы сессий и refresh-токенов).
4.4. В рамках договорной работы с контрагентами и представителями контрагентов:
- фамилия, имя, отчество;
- реквизиты документа, удостоверяющего личность (вид, серия, номер, дата выдачи, наименование органа, выдавшего документ);
- сведения о регистрации по месту жительства;
- контактные данные (номер телефона, адрес электронной почты);
- банковские реквизиты;
- идентификационный номер налогоплательщика (ИНН).
4.5. Категории персональных данных работников, уволенных работников и родственников работников установлены отдельно для каждой цели обработки в соответствии с записью в Реестре операторов и обрабатываются Оператором в рамках кадровых, бухгалтерских, налоговых и иных учётных процессов вне сайта и Сервиса.
4.6. Данные, обрабатываемые по поручению клиента. В рамках использования Сервиса клиент (как самостоятельный оператор) размещает сведения о своих контрагентах, сотрудниках и иных субъектах. В отношении таких данных Оператор действует как лицо, осуществляющее обработку по поручению клиента, в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ; цели и состав обрабатываемых данных определяются клиентом.
4.7. Оператор обрабатывает специальные категории персональных данных (сведения о состоянии здоровья, категории годности к военной службе) исключительно в отношении работников и уволенных работников для целей, указанных в записи Реестра операторов (соблюдение законодательства о здравоохранении, об обороне, о социальном страховании). В отношении посетителей сайта, клиентов и контрагентов специальные категории персональных данных и биометрические персональные данные Оператором не обрабатываются.
5. Цели обработки
Оператор обрабатывает персональные данные в целях, заявленных при внесении в Реестр операторов (запись № 26-26-052889):
- обеспечение соблюдения пенсионного законодательства Российской Федерации;
- обеспечение соблюдения законодательства о социальном страховании;
- обеспечение соблюдения законодательства Российской Федерации в сфере здравоохранения;
- обеспечение соблюдения законодательства Российской Федерации об обороне;
- продвижение товаров, работ, услуг на рынке (включая взаимодействие с посетителями сайта и клиентами Сервиса);
- ведение кадрового и бухгалтерского учёта (в том числе договорные расчёты с клиентами и контрагентами);
- обеспечение соблюдения трудового законодательства Российской Федерации;
- ведение договорной работы с контрагентами;
- обеспечение соблюдения налогового законодательства Российской Федерации.
Цели №5 («продвижение товаров, работ, услуг на рынке») и №6 («ведение кадрового и бухгалтерского учёта») являются основанием для обработки персональных данных, собираемых через сайт и Сервис в отношении посетителей сайта, клиентов и контрагентов.
6. Правовые основания
Обработка осуществляется на следующих правовых основаниях:
- согласие субъекта (п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ);
- исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ);
- исполнение обязанностей, возложенных на Оператора законодательством Российской Федерации (п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ);
- устав Оператора, локальные нормативные акты, заключённые гражданско-правовые договоры.
7. Способы и сроки обработки
7.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без таковых, и включает: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
7.2. Хранение персональных данных граждан Российской Федерации осуществляется на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 Федерального закона № 152-ФЗ.
7.3. Срок хранения персональных данных определяется целями обработки и составляет:
- для данных, обрабатываемых в рамках Пользовательского соглашения — период действия соглашения и три (3) года после его прекращения;
- для данных бухгалтерского и налогового учёта — пять (5) лет с момента окончания налогового периода в соответствии с НК РФ и Федеральным законом № 402-ФЗ;
- для данных работников — пятьдесят (50) лет в соответствии с приказом Росархива от 20.12.2019 № 236;
- иные сроки, прямо установленные действующим законодательством Российской Федерации.
7.4. По достижении целей обработки или при отзыве согласия субъекта персональные данные подлежат уничтожению или обезличиванию в течение тридцати (30) дней.
8. Передача персональных данных
8.1. Оператор не передаёт персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации, либо при наличии согласия субъекта.
8.2. Оператор вправе поручать обработку персональных данных третьим лицам на основании заключаемого с ними договора в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ. В таком договоре устанавливается обязанность третьего лица соблюдать конфиденциальность и безопасность персональных данных.
8.3. Оператор уведомил уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять трансграничную передачу персональных данных в порядке, установленном ст. 12 Федерального закона № 152-ФЗ (запись в Реестре операторов № 26-26-052889 содержит соответствующее указание).
8.4. Базы данных, содержащие персональные данные граждан Российской Федерации, размещены на серверах, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ.
9. Права субъектов персональных данных
Субъект персональных данных вправе:
- получать информацию, касающуюся обработки своих персональных данных, в порядке, установленном ст. 14 Федерального закона № 152-ФЗ;
- требовать уточнения, блокирования или уничтожения персональных данных;
- отозвать ранее данное согласие на обработку персональных данных в любое время;
- обжаловать действия (бездействие) Оператора в Роскомнадзоре или в судебном порядке;
- требовать возмещения убытков и компенсации морального вреда в соответствии с законодательством Российской Федерации.
Запрос направляется по адресу privacy@krasoft.ru и рассматривается в срок не более тридцати (30) дней с даты получения.
10. Меры по обеспечению безопасности
10.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, в соответствии со ст. 18.1, 19 Федерального закона № 152-ФЗ, Постановлением Правительства РФ от 01.11.2012 № 1119, приказами ФСТЭК России от 18.02.2013 № 21 и ФСБ России.
10.2. Внутренние нормативные документы Оператора по обработке и защите персональных данных:
- Положение об организации обработки персональных данных;
- Положение об организации обработки персональных данных без использования средств автоматизации;
- Положение об обеспечении безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
- Регламент реагирования на инциденты информационной безопасности в информационных системах персональных данных.
10.3. Организационные меры включают:
- назначение лица, ответственного за организацию обработки персональных данных (см. раздел 2 Политики);
- определение уровней защищённости персональных данных при их обработке в информационных системах в зависимости от угроз безопасности;
- разработку моделей угроз безопасности персональных данных;
- учёт машинных носителей персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах, регистрацию и учёт всех действий пользователей с персональными данными;
- ознакомление работников с положениями законодательства о персональных данных, локальными актами Оператора и обучение работе со средствами защиты информации;
- проведение внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, политике Оператора и локальным актам;
- проведение разбирательств по фактам несанкционированного доступа к персональным данным в соответствии с Регламентом реагирования на инциденты информационной безопасности.
10.4. Технические меры включают:
- применение средств криптографической защиты информации при передаче персональных данных по каналам связи (TLS 1.2 и выше; использование шифровальных средств заявлено в записи Реестра операторов № 26-26-052889);
- разграничение прав доступа на основе ролевой модели;
- журналирование действий с персональными данными;
- применение средств защиты от несанкционированного доступа и вредоносного кода;
- резервное копирование данных и регулярный контроль целостности.
11. Реагирование на инциденты
11.1. В случае инцидента, повлёкшего неправомерную или случайную передачу персональных данных, повлёкшую нарушение прав субъектов, Оператор уведомляет Роскомнадзор:
- в течение двадцати четырёх (24) часов с момента выявления инцидента — с предварительной информацией;
- в течение семидесяти двух (72) часов с момента выявления — с результатами внутреннего расследования и сведениями о виновных лицах.
Указанный порядок установлен ч. 3.1 ст. 21 Федерального закона № 152-ФЗ. Затронутые субъекты уведомляются о произошедшем в порядке и в сроки, определённые законодательством РФ.
12. Обратная связь
Для реализации своих прав, направления запросов и получения разъяснений по вопросам обработки персональных данных субъект может обратиться:
- по электронной почте: privacy@krasoft.ru;
- по почтовому адресу Оператора, указанному в разделе 2 Политики.
Уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор: rkn.gov.ru.