Политика в отношении обработки персональных данных

Оператор: Общество с ограниченной ответственностью «СМАРТ Автоматизация»

ИНН: 7804694810;   ОГРН: 1227800095643;

адрес: 195197, Российская Федерация, город Санкт-Петербург, внутригородская территория (внутригородское муниципальное образование) города федерального значения муниципальный округ Финляндский, проспект Маршала Блюхера, дом 9, корпус 1, строение 1, помещение 15-Н, офис 2;

е-mail: onlineshop@smarta.ru

сайт: https://www.smarta.ru

Ответственный за организацию обработки персональных данных (ст. 22.1 ФЗ-152):

руководитель по качеству и сертификации,

контакты для обращений субъектов персональных данных: D.Sazhina@smarta.ru

Утверждена: приказ № 115 от 30.05.2025г.

Актуальная редакция: v05 от 30.05.2025г. публичная версия (для сайта)

 

1. Назначение и правовые основания

1.1. Настоящая Политика устанавливает порядок обработки персональных данных Оператором на сайтах и субдоменах Оператора, включая https://events.smarta.ru, цели и правовые основания такой обработки, порядок реализации прав субъектов персональных данных.

1.2. Документ опубликован для неограниченного круга лиц. Сведения о реализуемых требованиях к защите персональных данных содержатся в разделе 10 настоящей Политики. Доступ к указанному разделу обеспечивается со страниц, на которых осуществляется сбор персональных данных, посредством гиперссылки на данный раздел (ч. 2 ст. 18.1 ФЗ-152).

1.3. Правовые основания обработки: Оператор обрабатывает персональные данные на основаниях, предусмотренных ст. 6 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных»: согласие субъекта (ч. 1 п. 1), заключение и (или) исполнение договора с субъектом (ч. 1 п. 5), исполнение обязанностей, возложенных законодательством РФ (ч. 1 п. 2), а также иных основаниях, прямо предусмотренных ФЗ-152. Основание для каждой цели указано в Матрице целей (раздел 3). Обработка специальных категорий персональных данных – в случаях, установленных ст. 10 и 10.1 ФЗ-152, биометрических – ст. 11 ФЗ-152; трансграничная передача – по ст. 12; локализация – по ч. 5 ст. 18. Маркетинговые коммуникации осуществляются только при наличии предварительного согласия субъекта (ст. 6 ч. 1 п. 1 ФЗ-152) и с соблюдением требований ст. 18 Федерального закона № 38-ФЗ «О рекламе». Таким образом, применяются положения Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» (включая ст. 3, 5, 6, 9, 12, 14–19, 22, 22.1) и иные применимые акты; формы уведомлений – по Приказу Роскомнадзора № 180 от 28.10.2022г. в действующей редакции.

 

2. Обрабатываемые данные и источники получения

2.1. Категории данных:

• идентификационные: Фамилия, Имя, Отчество (при наличии);
• контактные: адрес электронной почты e-mail (служебный/личный), номер телефона (служебный/личный);
• организационные (для B2B): наименование организации, занимаемая должность;
• данные заявок/регистраций на мероприятия;
• технические и онлайн-идентификаторы (IP-адрес, cookie-ID, user-agent, UTM-метки, события на сайте) – в объёме, необходимом для работы сайта, аналитики и, при наличии согласия, маркетинга. Cookie-идентификаторы при возможности идентификации относятся к персональным данным и обрабатываются на общих основаниях.

2.2. Источники: данные предоставляются субъектом персональных данных через формы сайта/взаимодействие с Оператором; технические данные формируются при посещении сайта; часть данных может поступать от уполномоченных лиц по договору поручения обработки – строго в пределах заявленных целей.

 

3. Матрица целей обработки (синхронизирована с уведомлением в Роскомнадзор)

Для каждой цели указаны категории данных, субъекты, правовые основания и срок/условие прекращения обработки. Такие сведения синхронизируются с уведомлением Оператора в Роскомнадзор (ст. 22 ФЗ-152; формы – Приказ № 180).

3.1. Регистрация на мероприятия / обработка заявок

• данные: Фамилия, Имя, Отчество (при наличии), адрес электронной почты e-mail (служебный/личный), номер телефона (служебный/личный), наименование организации, занимаемая должность, сведения о заявке.
• субъекты: пользователи сайта, участники мероприятий.
• основание: ст. 6 ч. 1 п. 5 (договор/преддоговорные меры); дополнительно – согласие на информирование (п. 1).
• срок/условие прекращения: до исполнения договора/оказания услуги + сроки, установленные законодательством РФ; далее уничтожение/обезличивание (ст. 5 ч. 5-6).

3.2. Поддержка и обратная связь

• данные: Фамилия, Имя, Отчество (при наличии), адрес электронной почты e-mail (служебный/личный), номер телефона (служебный/личный), наименование организации, занимаемая должность, содержание обращения, технические логи.
• субъекты: пользователи, клиенты.
• основание: ст. 6 ч. 1 п. 5 (исполнение договора), либо ст. 6 ч. 1 п. 1 (согласие).
• срок: до урегулирования обращения + до 3 (трёх) лет (исковая давность).

3.3. Маркетинговые коммуникации (e-mail/SMS/мессенджеры)

• данные: Фамилия, Имя, Отчество (при наличии), адрес электронной почты e-mail (служебный/личный), номер телефона (служебный/личный), наименование организации, занимаемая должность, история взаимодействий.
• субъекты: подписчики, клиенты.
• основание: предварительное согласие субъекта (ст. 6 ч. 1 п. 1); прямой маркетинг допускается только при наличии такого согласия (ст. 15). Согласие оформляется отдельно от иных информации и (или) документов (ч. 1 ст. 9 ФЗ-152).
• срок: до отзыва согласия или достижения цели. Отказ – по ссылке в каждом сообщении либо через onlineshop@smarta.ru.

3.4. Веб-аналитика и поведенческие данные (cookie/пиксели/SDK)

Оператор использует файлы cookie и иные онлайн-идентификаторы для обеспечения работы сайта (основание – ст. 6 ч. 1 п. 5 ФЗ-152) и, при наличии согласия субъекта, для аналитики и маркетинга (ст. 6 ч. 1 п. 1 ФЗ-152). Управление согласиями осуществляется через баннер/панель (CMP), выбор фиксируется. Перечень cookie (имена, категории, сроки хранения, получатели, локализация/трансграничная передача) размещён в Политике использования файлов cookie.

• данные: IP-адрес, cookie-ID, события на сайте, user-agent, UTM-метки.
• субъекты: посетители сайта.
• основание: для необходимых cookie – ст. 6 ч. 1 п. 5 (предоставление запрошенного сервиса, договорное); для аналитики/маркетинга – ст. 6 ч. 1 п. 1 (согласие).
• срок: по видам cookie (см. Приложение «Перечень cookie») либо до отзыва согласия.

 

4. Cookies и управление согласием

Оператор применяет баннер/панель управления (CMP), позволяющую субъекту персональных данных принять все cookies, отклонить необязательные либо настроить по категориям. Выбор фиксируется (ID события, дата/время, версия перечня cookie). Для аналитических/маркетинговых cookie Оператор запрашивает согласие. Согласие оформляется отдельно от иных информации и (или) документов (ч. 1 ст. 9 ФЗ-152).

 

5. Передача и круг получателей

5.1. Оператор не продаёт персональные данные. Передача допускается:

• уполномоченным лицам (обработчикам) по договору поручения обработки, содержащему требования к защите персональных данных;
• государственным органам – в случаях, установленных законодательством РФ;
• иным контрагентам – только при наличии правового основания и в пределах заявленных целей.

5.2. Актуальная информация о категориях получателей предоставляется субъекту персональных данных по запросу.

 

6. Сроки хранения

Персональные данные хранятся не дольше, чем это требуется для целей обработки, если иные сроки не установлены законодательством РФ и (или) договором. Типовые сроки:

• заявки/регистрация – до оказания услуги + сроки учёта/исковой давности;
• обращения – до урегулирования + до 3 (трёх) лет;
• маркетинг – до отзыва согласия;
• cookie – по видам (см. Приложение «Перечень cookie»).

7. Локализация персональных данных граждан Российской Федерации

Первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации при их сборе осуществляются только с использованием баз данных, расположенных на территории Российской Федерации. Прямой запрет на первичную обработку в иностранных базах данных действует с 01.07.2025г. (ч. 5 ст. 18 ФЗ-152 в ред. ФЗ № 23-ФЗ от 28.02.2025г.).

 

8. Трансграничная передача

Оператор соблюдает установленный порядок уведомления Роскомнадзора о трансграничной передаче. Для стран, не обеспечивающих «адекватную защиту» прав субъектов персональных данных, до истечения 10 (десяти) рабочих дней с даты направления уведомления передача не допускается; Роскомнадзор вправе запретить или ограничить такую передачу.

Для государств, обеспечивающих адекватный уровень защиты прав субъектов персональных данных, передача осуществляется в уведомительном порядке с учётом решений Роскомнадзора.

 

9. Права субъектов персональных данных и порядок их реализации

9.1. Субъект персональных данных вправе получить сведения об обработке его персональных данных, требовать их уточнения, блокирования или уничтожения, отозвать согласие, обжаловать действия (бездействие) Оператора (ст. 14–17 ФЗ-152).

9.2. Порядок обращения: запрос направляется на электронный адрес D.Sazhina@smarta.ru либо почтовым отправлением по адресу Оператора. В запросе указываются Фамилия, Имя, Отчество (при наличии), контактные данные, суть запроса, при необходимости – подтверждающие документы/доверенность.

9.3. Срок ответа: до 10 (десяти) рабочих дней; в ряде случаев допустимо продление до 15 (пятнадцати) рабочих дней при наличии предусмотренных законодательством РФ оснований.

9.4. Отказ от маркетинговых сообщений: доступен по ссылке в каждом сообщении либо посредством направления обращения на onlineshop@smarta.ru.

 

10. Сведения о реализуемых требованиях к защите персональных данных

10.1. Оператор применяет правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в соответствии со ст. 19 ФЗ-152.

10.2. Организационные меры: назначение ответственного за обработку персональных данных; принятие локальных актов; управление доступом к персональным данным по принципу необходимости; обучение сотрудников; внутренний контроль/аудит; процедуры рассмотрения обращений субъектов персональных данных; порядок реагирования на инциденты.

10.3. Правовые меры: договоры с уполномоченными лицами с включением требований к защите персональных данных; получение согласий – раздельно по целям, ведение журналов согласий; соблюдение требований локализации персональных данных граждан РФ.

10.4. Технические меры: шифрование на транспортном уровне (HTTPS/TLS); разграничение прав доступа; журналирование событий; резервное копирование и восстановление; защита серверов и рабочих станций; управление уязвимостями.

10.5. Трансграничная передача (при наличии): соблюдение требований законодательства, в том числе процедур уведомления и ограничений для отдельных юрисдикций.

10.6. В целях безопасности Оператор не раскрывает в публичном доступе конфигурации средств защиты, схемы инфраструктуры, версии прикладного/системного ПО и иные сведения, которые могут повлечь угрозы безопасности персональных данных.

 

11. Правовое значение Политики и согласий

11.1. Настоящая Политика предназначена для информирования и прозрачности обработки персональных данных и не является согласием субъекта персональных данных.

11.2. В случаях, когда основанием обработки является согласие, такое согласие оформляется отдельно от иных документов (в том числе в электронной форме посредством отдельной отметки) и подлежит фиксации (ч. 1 ст. 9 ФЗ-152).

11.3. Прямой маркетинг (рассылки, промо-коммуникации) осуществляется только при наличии предварительного согласия субъекта персональных данных.

11.4. Для целей, где применимы иные основания (исполнение договора, исполнение обязанностей по законодательству РФ и т.п.), согласие не запрашивается.

 

12. Уведомления в Роскомнадзор и ответственность

12.1. До начала обработки Оператор направляет уведомление об обработке персональных данных в Роскомнадзор (ст. 22 ФЗ-152, формы Приказ № 180), поддерживает актуальность сведений, а при прекращении обработки направляет уведомление о прекращении.

12.2. Оператор уведомляет Роскомнадзор об инциденте (утечке персональных данных) в сроки и по форме, установленным уполномоченным органом; при необходимости направляет дополнительную информацию по результатам внутреннего расследования.

12.3. Ответственность за нарушения законодательства в сфере персональных данных установлена действующим законодательством Российской Федерации. С 30.05.2025г. отдельные штрафы за нарушения в сфере персональных данных существенно увеличены.

 

13. История изменений

История версий Политики ведётся Оператором и предоставляется по запросу; при необходимости публикуется ссылка на архив версий.