1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «ФЗ-152»), а также иных нормативных правовых актов Российской Федерации в области защиты персональных данных.
1.2. Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности, применяемые индивидуальным предпринимателем [ФИО ИП] (далее — «Оператор») при предоставлении доступа к программному продукту «PVZ-ERP» (далее — «Сервис») и связанных с ним услуг.
1.3. Действие настоящей Политики распространяется на любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных), получаемую Оператором в связи с предоставлением Сервиса.
1.4. Положения Политики применяются ко всем разделам Сервиса, включая, но не ограничиваясь: страницы регистрации, входа, личного кабинета владельца пункта выдачи заказов (тенанта), модуль учёта сотрудников, модуль смен и чек-листов, модуль документов, модуль сообщений, модуль видеонаблюдения, платформенную административную часть.
1.5. Используя Сервис, субъект персональных данных подтверждает ознакомление с настоящей Политикой и согласие с её положениями в той части, в которой такое согласие требуется законодательством Российской Федерации.
1.6. Оператор оставляет за собой право вносить изменения в настоящую Политику. Актуальная редакция размещается по постоянному адресу [URL_ПОЛИТИКИ]. Дата последней редакции указана в начале документа.
2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор — индивидуальный предприниматель [ФИО ИП] (ОГРНИП [ОГРНИП], ИНН [ИНН]), самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Субъект персональных данных — физическое лицо, которому принадлежат соответствующие персональные данные.
2.5. Сервис («PVZ-ERP») — программно-аппаратный комплекс, доступный пользователям через сеть «Интернет» по адресу [URL_СЕРВИСА], предназначенный для учёта и сопровождения деятельности пунктов выдачи заказов (далее — «ПВЗ»).
2.6. Тенант — юридическое лицо, индивидуальный предприниматель или иное лицо, заключившее с Оператором договор о предоставлении доступа к Сервису и использующее Сервис для ведения собственной хозяйственной деятельности.
2.7. Пользователь — физическое лицо, осуществляющее доступ к Сервису через личный учётный аккаунт. В роли Пользователя могут выступать владелец Тенанта, его сотрудники, иные уполномоченные лица.
2.8. Поручение обработки — обработка персональных данных Оператором по поручению другого лица (Тенанта) в рамках статьи 6 части 3 ФЗ-152 на основании договора (Оферты).
2.9. Cookie — небольшие фрагменты данных, сохраняемые в браузере Пользователя при работе с Сервисом и используемые для аутентификации, обеспечения безопасности и сохранения пользовательских настроек.
3.1. Наименование: Индивидуальный предприниматель [ФИО ИП].
3.2. ОГРНИП: [ОГРНИП].
3.3. ИНН: [ИНН].
3.4. Адрес регистрации: [АДРЕС РЕГИСТРАЦИИ].
3.5. Почтовый адрес для корреспонденции: [ПОЧТОВЫЙ_АДРЕС].
3.6. Электронная почта: [ЭЛ.ПОЧТА].
3.7. Контактный телефон: [ТЕЛЕФОН].
3.8. Ответственный за организацию обработки персональных данных (ст. 22.1 ФЗ-152): [ФИО ОТВЕТСТВЕННОГО], электронная почта: [ЭЛ.ПОЧТА_ОТВЕТСТВЕННОГО]. Назначен приказом № [НОМЕР] от [ДАТА].
3.9. Оператор включён в реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор), регистрационный номер [НОМЕР_В_РЕЕСТРЕ_РКН] от [ДАТА_ВНЕСЕНИЯ]. [Раздел подлежит заполнению после подачи уведомления в Роскомнадзор по ст. 22 ФЗ-152.]
4.1. Оператор обрабатывает персональные данные следующих категорий физических лиц:
5.1. В отношении владельцев Тенантов и уполномоченных пользователей Оператор обрабатывает:
5.2. В отношении сотрудников Тенантов (обработка по поручению Тенанта): ФИО, дата рождения, должность, контактные данные, адрес, паспортные данные, СНИЛС, ИНН, электронные копии документов, сведения о сменах и начислениях, сообщения в корпоративном мессенджере.
5.3. Специальные категории персональных данных Оператором не обрабатываются.
5.4. Сервис не обрабатывает персональные данные конечных получателей заказов с маркетплейсов.
6.1. Предоставление доступа к функциональности Сервиса (регистрация, аутентификация, разграничение прав).
6.2. Исполнение договора (Оферты) с Тенантом.
6.3. Обработка персональных данных по поручению Тенанта (кадровый учёт, расчёты, коммуникации).
6.4. Обеспечение информационной безопасности Сервиса.
6.5. Двухфакторная аутентификация (OTP по электронной почте).
6.6. Сервисные коммуникации (уведомления об изменениях, плановых работах).
6.7. Резервное копирование.
6.8. Маркетинговые коммуникации — только при наличии отдельного согласия субъекта.
7.1. Договор (Оферта), выгодоприобретателем по которому является субъект персональных данных (п. 5 ч. 1 ст. 6 ФЗ-152).
7.2. Поручение обработки от Тенанта (ч. 3 ст. 6 ФЗ-152).
7.3. Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 ФЗ-152) — для маркетинговых целей.
7.4. Законные интересы Оператора (п. 7 ч. 1 ст. 6 ФЗ-152) — для обеспечения информационной безопасности.
8.1. Оператор не передаёт и не распространяет персональные данные, за исключением случаев, предусмотренных Политикой и законодательством РФ.
8.2. Привлекаемые третьи лица:
8.3. Трансграничная передача персональных данных не осуществляется. Все средства хранения и обработки находятся на территории Российской Федерации.
| Категория | Срок хранения |
|---|---|
| Учётная запись Пользователя | Период действия + 90 дней после блокировки |
| Сессионные данные | Срок действия сессии (по умолчанию до 30 дней неактивности) |
| Доверенные устройства | 90 дней с момента создания или последнего использования |
| OTP-коды | 10 минут с момента генерации |
| Журналы аудита | 12 месяцев |
| Данные сотрудника (активного) | Период трудовых отношений |
| Данные уволенного сотрудника | В соответствии с приказом Росархива № 236 (до 50 лет) |
| Сообщения мессенджера | 12 месяцев активного хранения + архив 12 месяцев |
| Резервные копии | До 90 календарных дней |
| Записи о факте акцепта Оферты и Политики | Период договора + 5 лет |
10.1. Организационные меры: назначение ответственного за обработку ПДн, ограничение круга лиц с доступом, ведение учёта носителей.
10.2. Технические меры: HTTPS/TLS, хранение паролей в виде хэша (PBKDF2), 2FA по OTP, CSRF-защита, rate limiting, журнал аудита, логическая изоляция данных тенантов, шифрование резервных копий AES-256-GCM.
11.1. Строго необходимые cookie: pvz_auth (сессия), CSRF-cookie, pvz_platform.
11.2. Функциональные cookie: pvz_theme (тема интерфейса).
11.3. Cookie доверенных устройств — для пропуска повторной 2FA.
11.4. Сервис не использует cookie аналитических и рекламных сервисов.
12.1. Субъект вправе получать сведения об обработке его ПДн, требовать уточнения, блокировки или уничтожения данных, отзывать согласие, обжаловать действия Оператора в Роскомнадзор или суд.
12.2. Запросы направляются по адресу электронной почты: [ЭЛ.ПОЧТА] или по почтовому адресу: [ПОЧТОВЫЙ_АДРЕС].
12.3. Срок рассмотрения запроса — не более 30 календарных дней.
13.1. В соответствии с ч. 5 ст. 18 ФЗ-152 обработка персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации. Серверы Сервиса расположены в дата-центрах TimeWeb (Россия).
14.1. При выявлении факта неправомерной передачи персональных данных Оператор уведомляет Роскомнадзор в течение 24 часов (предварительное уведомление) и 72 часов (итоговое уведомление), а также уведомляет затронутых субъектов в предусмотренных законом случаях.
15.1. Настоящая Политика вступает в силу с момента её утверждения и опубликования по адресу [URL_ПОЛИТИКИ].
15.2. Оператор вправе изменять Политику в одностороннем порядке. О существенных изменениях Пользователи уведомляются не менее чем за 10 дней до даты вступления в силу.
15.3. К отношениям, не урегулированным настоящей Политикой, применяется законодательство Российской Федерации.
Дата утверждения настоящей редакции: 20 мая 2026 г.
Версия: 1.0-draft
Подпись Оператора: ________________ / [ФИО ИП] /