ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ПЕРЕЧЕНЬ ТЕРМИНОВ И СОКРАЩЕНИЙ

Термин	Определение
Автоматизированная обработка ПДн	Обработка данных с помощью компьютеров и программ.
Блокирование ПДн	Временное прекращение обработки (например, на время проверки точности данных).
Cookie	Небольшие текстовые файлы, которые сайт сохраняет на устройстве Пользователя. Они помогают сайту работать корректно, запоминать настройки и собирать обезличенную статистику.
IP адрес	Уникальный числовой адрес устройства в интернете.
Обезличивание ПДн	Превращение данных в такой вид, по которому невозможно установить, какому человеку они принадлежат, без дополнительной информации.
Обработка ПДн	Любые действия с персональными данными: сбор, запись, хранение, использование, передача, удаление и так далее.
Оператор	Общество с ограниченной ответственностью «СТэКО» (ООО «СТэКО»), ОГРН 1147748139681, ИНН 7707202170, КПП 502901001, адрес юридический: 141002, Московская область, г.о. Мытищи, г. Мытищи, ул. Колпакова, д. 1/24; адрес почтовый: 141303, Московская обл., г. Сергиев Посад, Красной Армии пр-кт, д. 234, а/я №3.
Персональные данные (ПДн)	Любая информация, которая прямо или косвенно относится к конкретному человеку (например, имя, телефон, e-mail, паспортные данные).
Политика	Настоящий документ «Политика обработки персональных данных», размещенный в постоянном доступе на Сайте по адресу https://почертежу.рф/privacy.
Предоставление ПДн	Передача данных конкретному лицу или узкому кругу лиц.
Распространение ПДн	Передача данных неограниченному кругу лиц (например, публикация в интернете). Оператор не распространяет ПДн Пользователей.
Сайт	Веб-сайт https://почертежу.рф и все его поддомены, созданный на платформе Tilda Publishing и предназначенный для оказания услуг по изготовлению деталей по чертежам.
Субъект ПДн (Пользователь)	Любой человек старше 18 лет, который заходит на Сайт, заполняет формы, загружает чертежи, ведет переписку, заключает договор или иным образом передает Оператору свои Пдн.
Трансграничная передача ПДн	Передача данных на территорию другого государства.
Уничтожение ПДн	Полное удаление данных без возможности восстановления.
ФЗ - 152	Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
Электронный адрес Оператора	ooostko@mail.ru. На этот адрес Пользователь может направить любой вопрос или требование, связанное с обработкой его данных, в том числе отзыв согласия.
Яндекс.Метрика	Сервис веб-аналитики компании ООО «Яндекс» (ИНН 7736207543). Помогает Оператору анализировать посещаемость сайта и улучшать его работу.
Яндекс.Карты	Виджет с картой на Сайте, который автоматически подгружается с серверов Яндекса. При этом браузер Пользователя передает Яндексу техническую информацию (IP-адрес, данные браузера).

2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящая Политика объясняет, как ООО «СТэКО» (далее — Оператор) собирает, использует, хранит и защищает ПДн всех, кто взаимодействует с Сайтом.
2.2. Документ разработан в соответствии с Конституцией РФ, Федеральным законом № 152-ФЗ «О персональных данных», иными нормативными правовыми актами Российской Федерации в области обработки и защиты ПДн.
2.3. Политика охватывает все ситуации, в которых Оператор обрабатывает ПДн пользователей Сайта и клиентов:

заполнение форм: «Заказ онлайн», «Задайте Ваш вопрос», «Заказать звонок», форма подписки на новостную рассылку;
использование онлайн-чата (виджет JivoSite) для консультаций;
телефонные звонки и переписка по электронной почте;
заключение и исполнение договоров на изготовление деталей по чертежам (в том числе офлайн с юридическими лицами, индивидуальными предпринимателями и физическими лицами);
направление рекламных сообщений по электронной почте (только с отдельного согласия);
сбор статистики с использованием сервиса Яндекс.Метрика и анализ поведения на Сайте (только с отдельного согласия);
обеспечение стабильной и безопасной работы Сайта (технические данные, файлы cookie).

2.4. Простое использование Сайта – просмотр страниц, заполнение форм – уже означает, что Пользователь ознакомился с Политикой. Если Пользователь не согласен с условиями Политики, ему следует прекратить использование Сайта.
2.5. Самого по себе факта посещения недостаточно, чтобы Оператор начал обрабатывать ПДн для целей, требующих согласия. Такое согласие всегда оформляется отдельно: проставлением галочки в специальном поле (чек-боксе) на Сайте или нажатием кнопки отправки формы.
2.6. Для рекламных рассылок используется отдельный чек-бокс, не обязательный для получения основных услуг.
2.7. Оператор исходит из того, что Пользователь предоставляет достоверные сведения о себе, и не проводит их самостоятельной проверки. За актуальность и достоверность данных отвечает сам Пользователь.
2.8. Сайт и предлагаемые услуги предназначены исключительно для лиц, достигших возраста 18 лет. Оставляя заявку и используя Сайт, Пользователь подтверждает достижение указанного возраста. Оператор не обрабатывает ПДн лиц, не достигших 18 лет, и вправе удалить полученные данные, если будет установлено, что Пользователь моложе 18 лет.
2.9. Вопросы обработки ПДн работников Оператора решаются внутренними документами. Сотрудники, допущенные к обработке, ознакомлены с настоящей Политикой и обязаны соблюдать конфиденциальность.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПДН
Правовыми основаниями обработки ПДн Оператором являются:
3.1. Согласие субъекта ПДн на обработку (п. 1 ч. 1 ст. 6 ФЗ-152) – для целей, не вытекающих непосредственно из договора: прием и обработка заявок с форм на Сайте (до заключения договора), консультирование через онлайн-чат, направление рекламных сообщений, сбор аналитики через Яндекс.Метрику.
3.2. Исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 ФЗ-152)– для обработки ПДн, необходимых для заключения и исполнения договора на изготовление деталей по чертежам, включая идентификацию клиента, оформление сделки, ведение бухгалтерского и налогового учета, а также для взаимодействия с контрагентами и их представителями.
3.3. Законный интерес Оператора (п. 7 ч. 1 ст. 6 ФЗ-152)– для обеспечения функционирования и безопасности Сайта (строго необходимые cookie, логи сервера).

4. ЦЕЛИ ОБРАБОТКИ ПДН
Оператор обрабатывает ПДн строго для следующих заранее определенных и законных целей:
4.1. Прием и обработка заявок на расчет стоимости, консультирование и обратная связь (все формы на Сайте, онлайн-чат, телефонные звонки).
Связь с Пользователем для уточнения деталей заказа, предварительного расчета стоимости изготовления деталей по чертежу, ответов на вопросы, записи на звонок.
Правовое основание: согласие субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ-152).
4.2. Заключение и исполнение договоров на изготовление деталей по чертежам, идентификация клиента, оформление сделок.
Оформление документов, проведение расчетов, организация доставки готовых изделий, выполнение требований законодательства о бухгалтерском и налоговом учете, хранение истории сделок. Включает обработку паспортных данных, ИНН, адреса регистрации клиента (при работе с физическими лицами и ИП).
Правовое основание: исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), требования законодательства.
4.3. Направление рекламных сообщений.
Информирование Пользователей, выразивших отдельное желание, об акциях, спецпредложениях, изменениях в услугах и иных событиях, связанных с деятельностью Сайта, посредством электронной почты.
Правовое основание: согласие субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ-152), запрашиваемое через отдельный чек-бокс при подписке на рассылку.
4.4. Анализ поведения пользователей и улучшение работы Сайта с помощью сервиса Яндекс.Метрика.
Сбор обезличенной статистической информации о посещаемости, анализ действий пользователей, оценка эффективности и оптимизация структуры.
Правовое основание: согласие субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ-152), предоставляемое через cookie-баннер.
4.5. Обеспечение функционирования и безопасности Сайта.
Обработка технически необходимых cookie, логов сервера, IP-адресов для стабильной работы и предотвращения несанкционированного доступа.
Правовое основание: законный интерес (п. 7 ч. 1 ст. 6 ФЗ-152).

5. СОСТАВ ОБРАБАТЫВАЕМЫХ ПДН
В зависимости от цели Оператор может обрабатывать следующие категории ПДн:
5.1. Для цели «Прием и обработка заявок на расчет стоимости, консультирование и обратная связь»:

контактный email (обязательное поле в формах «Заказ онлайн» и «Задать вопрос»);
контактный телефон (обязательное поле во всех формах: «Заказ онлайн», «Задать вопрос», «Заказать звонок»);
файлы чертежей, эскизов или фотографий (загружаемые в форме «Заказ онлайн»). Файлы могут содержать ПДн третьих лиц (например, ФИО в штампе чертежа). Загружая файл, Пользователь подтверждает, что имеет все законные основания для передачи таких данных Оператору и принимает на себя связанные с этим риски;
комментарий к заказу, текст вопроса или обращения (свободный текст, может содержать любые дополнительные сведения, включая ФИО, адрес доставки и т.п.);
история переписки в онлайн-чате JivoSite;
содержание заявки и история взаимодействия.

5.2. Для цели «Заключение и исполнение договоров»:

фамилия, имя, отчество;
паспортные данные (серия, номер, кем и когда выдан, адрес регистрации) — для физических лиц и ИП;
ИНН (при наличии);
номер телефона, адрес электронной почты;
данные о заказе (описание детали, материалы, чертежи, стоимость);
суммы и реквизиты сделок;
для контрагентов и их представителей: ФИО, должность, контактные данные (телефон, email), которые используются исключительно в рамках хозяйственных отношений.

5.3. Для цели «Рекламные сообщения»: адрес электронной почты.
5.4. Для цели «Аналитика (Яндекс.Метрика)» – собираются автоматически только при наличии согласия через cookie-баннер, данные обезличиваются:

технические данные устройства и программного обеспечения (тип и версия браузера, ОС, разрешение экрана, язык);
обезличенный IP-адрес (с анонимизацией/хешированием);
идентификаторы cookie;
данные о посещении (просмотренные страницы, время, клики);
приблизительные географические данные (страна, город).

5.5. Оператор не собирает и не обрабатывает специальные категории ПДн (о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), а также биометрические ПДн.
5.6. Оператор не осуществляет через Сайт сбор и хранение полных платежных реквизитов (номеров банковских карт, счетов). Оплата производится по выставленному счету через банк.

6. КАТЕГОРИИ СУБЪЕКТОВ ПДН
6.1. Оператор обрабатывает ПДн следующих категорий субъектов:

посетители Сайта, заполнившие заявку, обратившиеся через онлайн-чат или по телефону (потенциальные клиенты);
клиенты – физические лица, индивидуальные предприниматели, заключившие договор на изготовление деталей;
контрагенты и представители контрагентов (юридических лиц и индивидуальных предпринимателей, с которыми Оператор взаимодействует в рамках хозяйственной деятельности);
подписчики рекламных рассылок – лица, давшие отдельное согласие на их получение.

7. СРОКИ ХРАНЕНИЯ И ОБРАБОТКИ ПДН
7.1. Обработка ПДн осуществляется строго в пределах сроков, необходимых для достижения заявленных целей, если иное не установлено федеральными законами, а именно:
7.1.1. Для цели «Прием и обработка заявок» (без заключения договора): 1 (один) год с момента отправки заявки. Если впоследствии с Пользователем заключается договор, данные переходят в цель «Исполнение договора» и хранятся согласно ее срокам.
7.1.2. Для цели «Заключение и исполнение договоров»: 5 (пять) лет после окончания срока действия договора или последней операции, в соответствии с законодательством о бухгалтерском и налоговом учете.
7.1.3. Для цели «Рекламные сообщения»: до момента отзыва согласия. При отзыве данные удаляются из базы рассылки в течение 30 (тридцати) календарных дней.
7.1.4. Для цели «Аналитика (Яндекс.Метрика)»: до отзыва согласия, но не более 26 месяцев с момента сбора (стандартный срок хранения сервиса). Оператор самостоятельно сырые логи не хранит.
7.1.5. Сессионные cookie удаляются при закрытии браузера; иные технические cookie – не более 30 суток; логи сервера – не более 6 месяцев.
7.1.6. История переписки в онлайн-чате хранится внутри виджета не более 6 (шести) месяцев с момента последнего взаимодействия.
7.1.7. Данные контрагентов и их представителей хранятся 5 (пять) лет после прекращения договорных отношений.
7.2. Когда установленные сроки истекают или отпадает необходимость в обработке, Оператор уничтожает ПДн.

8. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПДН
8.1. Обработка ПДн прекращается, а сами данные подлежат уничтожению в следующих случаях:

достижение цели обработки;
отзыв субъектом ПДн согласия, если отсутствуют иные правовые основания для продолжения обработки;
выявление незаконной обработки (в таком случае Оператор незамедлительно прекращает обработку и уничтожает данные в срок, не превышающий 10 рабочих дней);
ликвидация или реорганизация Оператора.

8.2. Конкретные сроки обработки и хранения ПДн применительно к каждой цели обработки указаны в Приложении №1 к настоящей Политике. По истечении указанных сроков обработка прекращается, и ПДн подлежат уничтожению или обезличиванию в соответствии с требованиями законодательства.

9. ПРАВА СУБЪЕКТОВ ПДН И ПОРЯДОК ИХ РЕАЛИЗАЦИИ
9.1. Каждый Пользователь (субъект ПДн) обладает набором прав, которые позволяют ему контролировать, что происходит с его данными.
9.2. Что именно вправе сделать Пользователь:
9.2.1. Отозвать согласие. Если обработка велась на основании согласия, его можно в любой момент отменить. Это не повлияет на правомерность обработки, которая уже была выполнена до отзыва, но прекратит ее на будущее.
9.2.2. Узнать, что происходит с его данными. Пользователь может запросить подтверждение факта обработки, а также информацию о правовых основаниях, целях, способах, перечне обрабатываемых ПДн, сроках и получателях данных.
9.2.3. Потребовать уточнения, блокировки или удаления. Если данные неполные, устарели, неточные или были получены незаконно, Пользователь вправе попросить привести их в порядок, временно заблокировать обработку или полностью уничтожить сведения.
9.2.4. Обжаловать действия Оператора. При нарушении прав можно обратиться в Роскомнадзор или в суд.
9.3. Обязанность Пользователя: предоставлять достоверную информацию и своевременно сообщать об изменениях (например, нового номера телефона).
9.4. Для реализации своих прав, а также для отзыва согласия или направления требования о прекращении обработки ПДн, Пользователь направляет Оператору письменный запрос. Запрос должен содержать:

фамилию, имя, отчество (при наличии);
контактный номер телефона или e-mail, указанный при обращении;
суть требования (с пометкой «Отзыв согласия на обработку ПДн», «Удаление заявки», «Запрос информации» и т.п.).

9.5. При необходимости Оператор вправе запросить копию документа, удостоверяющего личность, или иные сведения, позволяющие однозначно идентифицировать заявителя и подтвердить факт обработки его данных.
9.6. Запрос направляется на электронную почту Оператора.
9.7. Оператор отвечает на запрос в течение 10 рабочих дней. В сложных случаях этот срок может быть продлен, но не более чем на 5 рабочих дней, о чем Пользователь будет уведомлен дополнительно.
9.8. В случае выявления неточных ПДн при обращении Пользователя Оператор осуществляет блокирование спорных данных на период проверки. Если факт неточности подтвердится, Оператор уточняет данные в течение семи рабочих дней и снимает блокировку.

10. ПОРЯДОК БЛОКИРОВАНИЯ, УТОЧНЕНИЯ И УНИЧТОЖЕНИЯ ПДН ПРИ ВЫЯВЛЕНИИ НЕТОЧНОСТЕЙ ИЛИ НАРУШЕНИЙ
10.1. Если Пользователь или уполномоченный орган сообщат Оператору о неточности ПДн или неправомерности их обработки, Оператор обязан незамедлительно заблокировать такие данные. Блокировка означает временное прекращение любых операций с ними (кроме операций по проверке и уточнению) на весь период разбирательства.
10.2. Оператор проводит проверку полученных сведений. Если факт неточности или неправомерности подтверждается, Оператор вносит необходимые уточнения или прекращает неправомерную обработку. Срок для уточнения данных составляет 7 (семь) рабочих дней с момента получения от Пользователя подтверждающих документов или информации. После исправления блокировка снимается.
10.3. Оператор прекращает обработку и уничтожает ПДн в следующих случаях и в следующие сроки:

При отзыве согласия на обработку: обработка прекращается, а ПДн уничтожаются в срок, не превышающий 30 (тридцати) календарных дней с момента получения отзыва, если иное не предусмотрено договором или законом (например, необходимостью хранить бухгалтерские документы).
При выявлении незаконной обработки: Оператор незамедлительно прекращает такую обработку и уничтожает данные в срок, не превышающий 10 (десяти) рабочих дней.

10.4. По истечении установленных сроков хранения: данные уничтожаются в плановом порядке. Электронные данные стираются методами, исключающими восстановление (гарантированное стирание, перезапись), а бумажные носители (при их наличии) уничтожаются механическим способом (шредирование) с составлением соответствующего акта.

11. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
11.1. Оператор имеет право:
11.1.1. Получать от Пользователя достоверные ПДн и обрабатывать их строго в рамках, заданных настоящей Политикой.
11.1.2. Если Пользователь отзывает согласие, но у Оператора остается другое законное основание для обработки (например, необходимость хранить документы по требованию закона или исполнять договор), – продолжать обработку на этом основании.
11.1.3. Передавать ПДн третьим лицам, перечисленным в разделе «Передача ПДн третьим лицам», при условии, что с ними заключены соглашения, обязывающие соблюдать конфиденциальность и требования законодательства.
11.1.4. Самостоятельно определять, какие именно правовые, организационные и технические меры необходимы для надежной защиты ПДн, и внедрять их.
11.2. Оператор обязан:
11.2.1. Сделать Политику общедоступной, разместив ее на Сайте.
11.2.2. Организовать обработку ПДн в полном соответствии с законодательством РФ.
11.2.3. По запросу Пользователя бесплатно предоставлять информацию о том, как и зачем обрабатываются его данные.
11.2.4. Использовать полученные ПДн исключительно для тех целей, которые объявлены в Политике.
11.2.5. Рассматривать и разрешать обращения Пользователей в порядке и сроки, установленные законом.
11.2.6. Принимать все разумные меры для защиты ПДн от несанкционированного доступа, изменения, раскрытия или уничтожения.
11.2.7. Если цели обработки достигнуты или согласие отозвано – прекратить обработку и уничтожить ПДн в установленных случаях.
11.2.8. В установленные сроки отвечать на запросы Роскомнадзора и других уполномоченных органов, а при инцидентах, связанных с утечкой данных, немедленно уведомлять об этом надзорные органы.

12. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПДН
12.1. Оператор обрабатывает ПДн Пользователей исключительно для тех целей, которые прямо перечислены в настоящей Политике. Никаких скрытых или неожиданных целей нет.
12.2. Обрабатываются только те данные, которые действительно необходимы для конкретной цели (принцип минимизации). Содержание и объем данных всегда строго соответствуют поставленной задаче.
12.3. Оператор следит, чтобы информация о Пользователе оставалась точной и полной. Если Пользователь заметил ошибку - достаточно сообщить об этом, и Оператор оперативно обновит или удалит неверную информацию.
12.4. Оператор хранит ПДн только до тех пор, пока они реально нужны для цели обработки. Как только цель достигнута или Пользователь отозвал согласие – данные удаляются или обезличиваются (с учетом требований закона о сроках хранения документов).
12.5. Передавая Оператору ПДн, в том числе загружая файлы чертежей, которые могут содержать ПДн третьих лиц (ФИО, подписи и т.п.), Пользователь подтверждает, что им получено предварительное согласие таких третьих лиц на передачу их данных Оператору в указанных целях, либо имеются иные законные основания для такой передачи. При отсутствии таких оснований Пользователь обязан воздержаться от передачи данных. Ответственность за нарушение этого требования лежит на Пользователе.
12.6. Все ПДн, получаемые через Сайт, записываются, систематизируются и хранятся в базах данных, размещенных на серверах на территории Российской Федерации. Все сервисы-обработчики, указанные в разделе 12, также обеспечивают хранение и обработку данных на территории РФ
12.7. Обработка включает полный цикл действий: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Оператор использует как автоматизированные, так и неавтоматизированные способы обработки, когда это необходимо.
12.8. Обращаем внимание, что часть запрашиваемых на Сайте персональных данных (например, контактный телефон для оформления заказа) является обязательной для достижения заявленных целей обработки. Если Пользователь отказывается предоставить такие необходимые и достаточные данные, Оператор, к сожалению, не сможет выполнить запрашиваемые действия (рассчитать стоимость, принять заказ, оказать услугу) и будет вынужден отказать в обслуживании.

13. ПЕРЕДАЧА ПДН ТРЕТЬИМ ЛИЦАМ
13.1. Оператор может передавать ПДн Пользователя третьим лицам исключительно для достижения целей, указанных в Политике, и только при условии, что эти лица гарантируют конфиденциальность и безопасность данных. С каждым таким лицом, обрабатывающим ПДн по поручению Оператора, заключается договор, обязывающий соблюдать требования законодательства.
13.2. ПДн могут передаваться следующим категориям третьих лиц:
13.2.1. Платформе Tilda (АО «Тильда Паблишинг», ОГРН 1247700830354, 107031, г. Москва, ул. Петровские Линии, д. 2, помещ. 4/1) — для обеспечения технической возможности функционирования Сайта, созданного на этой платформе. Передаются все данные, вводимые Пользователем в формы на Сайте. АО «Тильда Паблишинг» обрабатывает их по поручению Оператора. Серверы находятся на территории РФ.
13.2.2. Сервису онлайн-чата JivoChat (ООО «Живой Сайт», ОГРН 1127746026792, ИНН 7725745476, адрес: 115280, г. Москва, Ленинская слобода, дом 19, офис 21г1) — для целей организации онлайн-коммуникации с Пользователями. Передаются данные, вводимые Пользователем в чат (имя, контакты, текст сообщений), а также технические данные. Серверы находятся на территории РФ.
13.2.3. CRM-системе «1С» (развернутой на собственном сервере Оператора на территории РФ) — для автоматизации учета заказов, хранения данных клиентов и направления рассылок. Доступ к системе имеют только уполномоченные сотрудники Оператора.
13.2.4. CRM-системе «Битрикс24» (ООО «1С-Битрикс», юридический адрес: 109544, г. Москва, бульвар Энтузиастов, д. 2, этаж 13, помещения 8-19, ОГРН 5077746476209, ИНН 7717586110, КПП 770501001) — для обработки заявок покупателей, автоматизации учета заказов, хранения данных клиентов и направления рассылок. Передаются: фамилия, имя, адрес электронной почты, номер телефона, состав заказа. Обработка осуществляется на серверах, расположенных на территории РФ, на основании договора поручения, обязывающего соблюдать конфиденциальность.
13.2.5. Службам доставки (курьерским службам, транспортным компаниям), привлекаемым Оператором для исполнения обязательств по договору — передаются ФИО, адрес и контактный телефон получателя, а также ФИО и должность представителя контрагента. Перечень конкретных служб может варьироваться в зависимости от заказа.
13.2.6. Яндекс.Метрике (ООО «Яндекс», ИНН 7736207543) — для сбора обезличенной статистики (только при наличии отдельного согласия через cookie-баннер).
13.2.7. Государственным органам — в случаях, прямо предусмотренных законодательством РФ (по мотивированному запросу суда, правоохранительных органов, Роскомнадзора, налоговых органов и т.д.).
13.3. Передача ПДн иным лицам, не указанным в настоящем разделе, возможна только при наличии отдельного согласия субъекта или в силу закона.

14. ОПИСАНИЕ МЕР, ПРЕДУСМОТРЕННЫХ СТАТЬЯМИ 18.1 И 19 ФЕДЕРАЛЬНОГО ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
14.1. Во исполнение ст. 18.1 и 19 ФЗ-152 Оператор принимает необходимые и достаточные правовые, организационные и технические меры, направленные на защиту персональных данных (далее – ПДн) от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
14.2. Организационные меры включают:

разработку и введение в действие локальных актов, регламентирующих порядок обработки и защиты ПДн, в том числе настоящей Политики;
назначение лица, ответственного за организацию обработки ПДн;
периодическое ознакомление работников, допущенных к обработке ПДн, с требованиями законодательства и внутренними документами Оператора;
обеспечение ограниченного и разграниченного доступа к ПДн – только уполномоченные работники и исключительно в объеме, необходимом для выполнения трудовых (должностных) обязанностей;
организацию учета и хранения материальных носителей ПДн (при их наличии) в запираемых шкафах, исключающих несанкционированный доступ;
проведение периодической оценки вреда, который может быть причинен субъектам ПДн в случае нарушения требований законодательства;
регулярный пересмотр и совершенствование применяемых мер защиты с учетом актуальных угроз безопасности.

14.3. Технические меры, реализуемые для защиты ПДн, включают:

антивирусную защиту информационных систем с использованием лицензионного программного обеспечения и своевременной актуализацией баз;
межсетевое экранирование для контроля сетевых соединений и блокирования несанкционированного доступа;
шифрование каналов связи при передаче данных (протокол HTTPS);
идентификацию и аутентификацию пользователей информационных систем с применением надежных паролей и, где это технически возможно, двухфакторной аутентификации;
автоматическую блокировку сеанса при бездействии;
регулярное резервное копирование баз данных, содержащих ПДн, с хранением резервных копий на отдельных защищенных носителях;
ведение журналов событий (логов) сервера и приложений с регистрацией всех операций с ПДн (срок хранения логов – 6 месяцев);
обеспечение физической сохранности серверного оборудования и машинных носителей, включая контроль доступа в помещения, где они размещены.

15. СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
15.1. Для реализации указанных выше мер Оператор применяет следующие средства обеспечения безопасности:

лицензионное антивирусное программное обеспечение (наименование/тип – указывается при необходимости) с централизованным управлением и автоматическим обновлением антивирусных баз;
программно-аппаратные межсетевые экраны (брандмауэры), настроенные в соответствии с политиками сетевой безопасности;
сертифицированные средства криптографической защиты информации, обеспечивающие шифрование каналов передачи данных по протоколу HTTPS (TLS не ниже версии 1.2);
средства идентификации и аутентификации, включая программные компоненты для реализации двухфакторной аутентификации;
средства автоматической блокировки сеанса пользователя при простое (тайм-аут бездействия);
специализированное программное обеспечение резервного копирования и выделенные защищенные носители для хранения резервных копий;
системы регистрации и мониторинга событий информационной безопасности (логирование операций с ПДн);
организационно-технические системы контроля физического доступа в серверные и архивные помещения.

15.2. Все средства эксплуатируются в актуальных версиях, с регулярным обновлением и проверкой работоспособности.

16. СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ, УСТАНОВЛЕННЫМИ ПРАВИТЕЛЬСТВОМ РФ
16.1. В целях исполнения Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, Оператор обеспечивает 4‑й уровень защищенности ПДн и реализует следующий перечень мер:

назначено должностное лицо, ответственное за обеспечение безопасности ПДн в информационной системе; указанное лицо ознакомлено с локальными актами, регламентирующими особенности и правила обработки;
организован режим безопасности помещений, в которых размещена информационная система, препятствующий неконтролируемому проникновению или пребыванию в этих помещениях лиц, не имеющих права доступа;
утвержден перечень лиц, чей доступ к ПДн, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей;
используются средства защиты информации, прошедшие оценку соответствия в установленном порядке (при наличии таких средств);
определены и применяются меры по обеспечению сохранности машинных носителей ПДн.

16.2. При осуществлении обработки ПДн без использования средств автоматизации Оператор выполняет требования Положения, утвержденного постановлением Правительства РФ от 15.09.2008 № 687, а именно:

определены места хранения материальных носителей ПДн (при их наличии);
утвержден перечень лиц, осуществляющих обработку ПДн без использования средств автоматизации.

17. АНАЛИТИЧЕСКИЕ СЕРВИСЫ И ФАЙЛЫ COOKIE
17.1. На Сайте используются следующие типы файлов cookie:

Технически необходимые (обязательные) файлы cookie – обеспечивают базовую функциональность Сайта, включая безопасность, корректную работу форм. Эти файлы активны всегда и не требуют согласия Пользователя. Их отключение невозможно, так как это нарушит работу Сайта.
Аналитические файлы cookie – используются для сбора и обработки обобщенной статистической информации с целью повышения качества Сайта. К этой категории относится сервис Яндекс.Метрика. Обработка этих данных осуществляется исключительно при наличии отдельного явного согласия Пользователя.

17.2. При первом посещении Сайта в нижней части экрана отображается информационный баннер (cookie-баннер) со следующим текстом: «Для работы сайта мы используем обязательные cookie, которые уже активны и не требуют вашего согласия. Аналитические cookie (Яндекс.Метрика) активируются только после вашего согласия в целях аналитики посещаемости сайта. Подробнее – в Политике обработки персональных данных».
17.3. Баннер содержит две кнопки:

ПРИНЯТЬ – включает аналитические cookie и загружает скрипт Яндекс.Метрики. Баннер закрывается, и с этого момента начинается сбор обезличенных статистических данных.
НАСТРОИТЬ – открывает модальное окно с детальным описанием категорий cookie. До тех пор, пока Пользователь не подтвердит свой выбор в этом окне, аналитические cookie остаются отключенными.

17.4. В модальном окне настроек отображаются две категории:

«РАБОТА САЙТА» (обязательно): всегда разрешена, отключить нельзя.
«АНАЛИТИКА (ЯНДЕКС.МЕТРИКА)»: по умолчанию находится в положении «Запрещено». Пользователь может предоставить или отозвать согласие на обработку данных этим сервисом, переключив соответствующий тумблер и сохранив выбор.

17.5. Пользователь вправе в любой момент изменить или отозвать свое согласие. Для этого в подвале (футере) Сайта размещена постоянная ссылка «Настройки cookie», которая повторно открывает модальное окно настроек.
17.6. В связи с архитектурой сервиса Яндекс. Метрика техническое выделение и удаление конкретных данных, собранных до отзыва согласия, может быть затруднено. Гарантированно все данные обезличиваются или удаляются Яндексом по истечении 26 месяцев с момента сбора. Для полного и немедленного прекращения обработки Пользователю рекомендуется самостоятельно очистить файлы cookie и данные сайта в настройках браузера.
17.7. Пользовательское согласие на обработку данных сервисом Яндекс.Метрика также подробно описано в отдельном документе – «Согласие на использование сервиса Яндекс.Метрика», прямая ссылка на который размещена в подвале (футере) Сайта. Предоставляя согласие через cookie-баннер или настройки, Пользователь тем самым принимает условия указанного согласия.
17.8. Информация об использовании Сайта передается Яндексу и хранится на серверах Яндекса в РФ. Правила обработки данных сервисом: https://yandex.ru/legal/metrica_termsofuse/. Политика конфиденциальности Яндекса: https://yandex.ru/legal/confidential/. Срок хранения файлов cookie – 26 месяцев.

18. ОТВЕТСТВЕННОСТЬ СТОРОН
18.1. Оператор несет ответственность за нарушение требований законодательства РФ в области ПДн в соответствии с действующим законодательством (ст. 13.11 КоАП РФ, ст. 24 ФЗ-152).
18.2. Оператор не несет ответственность за утрату или разглашение конфиденциальной информации, если данная информация:

стала публичным достоянием до ее утраты или разглашения;
была получена от третьей стороны до момента ее получения Оператором;
была разглашена с согласия Субъекта.

19. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
19.1. Субъект может получить любые разъяснения по вопросам обработки его ПДн, обратившись по электронному адресу Оператора ooostko@mail.ru.
19.2. Настоящая Политика является общедоступным документом. Актуальная редакция размещена на Сайте по адресу https://почертежу.рф/privacy.
19.3. Оператор вправе вносить изменения в Политику в одностороннем порядке. Новая редакция вступает в силу с момента ее опубликования на Сайте, если иной срок не указан в самом документе. Пользователи обязуются самостоятельно отслеживать изменения.
19.4. Вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с законодательством Российской Федерации.

20. РЕКВИЗИТЫ ОПЕРАТОРА
Общество с ограниченной ответственностью «СТэКО»
ОГРН: 1147748139681
ИНН/КПП: 7707202170/502901001
Юридический адрес: 141002, Московская область, г.о. Мытищи, г. Мытищи, ул. Колпакова, д. 1/24
Почтовый адрес: 141303, Московская обл., г. Сергиев Посад, Красной Армии пр-кт, д. 234, а/я №3
Телефон: 8-495-532-40-15
Электронная почта для запросов субъектов ПДн: ooostko@mail.ru

Приложение № 1 к Политике обработки персональных данных

Перечень целей, сроков, способов обработки ПДн, категорий субъектов и обрабатываемых ПДн

№	Цель обработки ПДн	Правовое основание	Категории субъектов	Перечень ПДн	Способы обработки	Перечень действий с ПДн	Срок обработки и хранения	Порядок уничтожения
1.	Заключение и исполнение договоров на изготовление деталей, идентификация клиента, бухгалтерский и налоговый учет	Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152)	· Клиенты · контрагенты · представители контрагентов	· ФИО, · паспортные данные, · ИНН, · адрес регистрации, · телефон, · e-mail · описание и стоимость заказа; · для представителей: ФИО, должность, телефон, · e-mail	Смешанная	· сбор · запись · систематизация · накопление · хранение · уточнение (обновление, изменение), · извлечение · использование · передача (предоставление, доступ), · обезличивание · блокирование · удаление · уничтожение	5 лет после прекращения договорных отношений (для финансовых документов)	Электронные – стирание с перезаписью; бумажные – шредирование
2.	Прием и обработка заявок на расчет, консультирование и обратная связь (формы на Сайте, чат, звонки)	Согласие (п. 1 ч. 1 ст. 6 ФЗ-152	Посетители Сайта	· номер телефона · Email, · файлы чертежей, · текст заявки/вопроса, · история чата	Смешанная	· сбор · запись · систематизация · накопление · хранение · уточнение (обновление, изменение), · извлечение · использование · передача (предоставление, доступ), · обезличивание · блокирование · удаление · уничтожение	· 1 год с момента отправки заявки, если договор не заключен; · при заключении договора данные переходят в цель №1	Электронные – гарантированное стирание; бумажные – шредирование
3.	Направление рекламных рассылок	Согласие (п. 1 ч. 1 ст. 6 ФЗ-152)	Подписчики	· Имя (псевдоним); телефон	Автоматизированная	· сбор · запись · систематизация · накопление · хранение · уточнение (обновление, изменение), · извлечение · использование · передача (предоставление, доступ), · обезличивание · блокирование · удаление · уничтожение	До отзыва согласия	Удаление из базы рассылки в течение 30 дней
4.	Анализ поведения пользователей и улучшение работы Сайта (Яндекс.Метрика)	Согласие субъекта ПДн (через cookie-баннер) (п. 1 ч. 1 ст. 6 ФЗ-152)	Посетители Сайта, Пользователи (при наличии согласия)	· Технические данные (браузер, ОС, разрешение экрана); обезличенный IP-адрес; cookie-идентификаторы; данные о посещении (страницы, время, клики); геолокация (страна, город)	Автоматизированная	· сбор · запись · систематизация · накопление · хранение · уточнение (обновление, изменение), · извлечение · использование · передача (предоставление, доступ), · обезличивание · блокирование · удаление · уничтожение	До отзыва согласия, не более 26 месяцев	Автоматическое удаление/обезличивание сервисом; Оператор сырые логи не хранит