ООО «НЕЙРОТЕХНОЛОДЖИ»
(внутренний документ для исполнения требований ФЗ‑152 и Роскомнадзора)
1. Общие положения1.1. Политика регулирует внутренние процедуры обработки и хранения персональных данных (далее — ПДн), получаемых от Пользователей в рамках деятельности интернет-магазинов WWW.SACRUS.RU, CORDUS.RU, мобильного приложения и Telegram-бота (далее — Сервисы).
1.2. Политика соответствует требованиям ФЗ‑152, Приказа Роскомнадзора № 21 от 01.06.2021 и изменениям законодательства 2023–2025 годов.
1.3. Ответственным за исполнение Политики назначается сотрудник отдела ИТ‑безопасности (далее — Оператор).
1.4. Сотрудники и привлечённые лица (подрядчики), имеющие доступ к ПДн, обязаны пройти инструктаж по защите данных и подписать соглашения о конфиденциальности.
2. Категории и цели обрабатываемых персональных данных2.1.
Категории субъектов данных: пользователи, покупатели, подписчики, посетители сайтов.
2.2.
Категории обрабатываемых ПДн:- ФИО, email, телефон, адрес доставки;
- Данные об устройстве пользователя (IP, ОС);
- Информация о заказах, оплате, доставке;
- Технические логи приложения и Telegram-бота;
- Добровольно предоставленная информация (например, о здоровье).
- 2.3. Цели обработки:
- Исполнение договоров купли-продажи;
- Доставка товаров;
- Обеспечение обслуживания и поддержки пользователей;
- Маркетинговые уведомления (при наличии отдельного согласия);
- Аналитика и улучшение сервисов;
- Соблюдение требований законодательства РФ.
3. Правовые основания обработки3.1. Обработка производится на основании:
- согласия Пользователя;
- исполнения договора;
- требований законодательства (в том числе счетов, чеков);
- правомерных интересов Компании, при условии соблюдения баланса интересов.
4. Порядок сбора, хранения и использования данных4.1. Сбор данных осуществляется через формы регистрации, заказа, Telegram-бот, приложение.
4.2. Персональные данные хранятся на сервере, расположенном на территории РФ, в сертифицированных дата-центрах.
4.3. Доступ к данным предоставляется по принципу наименьших прав. Пароли и доступы выдаются строго под подпись.
4.4. Все действия сотрудников логируются (время, пользователь, IP).
4.5. Периодическая проверка актуальности данных (рентген‑отчёты) — не реже одного раза в год.
5. Сроки хранения и уничтожения данных5.1. Срок хранения определяется целями обработки и законодательными сроками:
- данные заказов и оплаты — не менее 5 лет;
- контактные данные покупателей и пользователей — до отзыва согласия или удаления аккаунта;
- лог-файлы и технические данные — до 1 года или дольше при необходимости расследования инцидентов.
- 5.2. По окончании срока хранения данные подлежат удалению или обезличиванию (внутренняя процедура — удаления из базы и архивирование “по маске”).
- 5.3. При отзыве согласия Пользователем ПДн могут быть удалены за исключением информации, необходимой для исполнения обязательств перед законом (например, налогового учёта).
6. Передача данных третьим лицам6.1. ПДн могут передаваться сторонним организациям, только при наличии:
- письменного договора о конфиденциальности и обработке ПДн;
- строгого ограничения объёмов и целей использования.
- 6.2. Подрядчики: курьерские службы, платёжные системы, хостинг и IT-поддержка.
7. Меры защиты информации7.1. Используются сертифицированные средства криптографической защиты (СКЗИ) при передаче и хранении критичных ПДн.
7.2. Доступ к данным ограничен: двухфакторная аутентификация для админов, шифрование резервных копий.
7.3. Регулярные внутренние и внешние аудиты по ИБ (не реже раз в 12 месяцев).
7.4. Разработан план реагирования на утечку ПДн: уведомление Роскомнадзора в течение
24 часов, оповещение субъектов.
8. Учет согласий и уведомлений8.1. Все согласия пользователей фиксируются с указанием даты, цели и срока действия.
8.2. Уведомление Роскомнадзора о начале обработки данных выполняется вами как Оператор — в сроки, установленные законом.
8.3. Пользователь имеет право направить запрос на удаление, корректировку или доступ к своим ПДн.
9. Обучение сотрудников9.1. Все сотрудники проходят обязательный инструктаж по защите ПДн при приёме и далее не реже раза в год.
9.2. Ответственность за нарушение внутренних процедур налагается с дисциплинарными санкциями вплоть до увольнения.
10. Ответственность и контроль10.1. Нарушение Политики или законодательства влечёт за собой административные меры согласно ФЗ‑152 и 420‑ФЗ (штрафы до миллионов рублей).
10.2. Ответственность за исполнение данной Политики несёт назначенный Оператор.