ООО «КОНСТРУКТИВ»
Юридический адрес:
197348 г. Санкт-Петербург, Коломяжский пр-кт, 18 литер А, помещ. 34-Н
ИНН 7810993590
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Дата последнего обновления: 14.04.2026
СВЕДЕНИЯ ОБ ОПЕРАТОРЕ


ОСНОВНЫЕ ПОНЯТИЯ
В настоящем документе используются следующие основные понятия:
Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона № 152-ФЗ).
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Сервис — веб-сайт https://kerastil.ru/, посредством которого Оператор оказывает услуги и осуществляет обработку персональных данных.
Пользователь — любое физическое лицо, получающее доступ к Сервису посредством сети Интернет.
Cookie (файлы cookie) — небольшие текстовые файлы, которые сохраняются на устройстве Пользователя при посещении Сервиса и используются для обеспечения его функционирования, сбора статистики и персонализации.

ОБЯЗАННОСТИ ОПЕРАТОРА
Оператор обязан:

• Осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
• Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
• Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, в порядке, установленном ст. 14 Федерального закона № 152-ФЗ.
• Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Федерального закона № 152-ФЗ).
• Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных (ст. 18.1 ч. 2 Федерального закона № 152-ФЗ).
• Назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 Федерального закона № 152-ФЗ).
• Направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) в соответствии со ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных ч. 2 указанной статьи.
• При сборе персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 Федерального закона № 152-ФЗ), за исключением случаев, указанных в ч. 5.1 ст. 18 данного закона.
• Прекратить обработку персональных данных и уничтожить собранные персональные данные в сроки, установленные законодательством, в случае достижения цели обработки, отзыва согласия субъектом или по требованию субъекта.
• Уведомлять Роскомнадзор и субъекта персональных данных об инцидентах, повлёкших нарушение прав субъектов персональных данных, в сроки, установленные ч. 3.1 ст. 21 Федерального закона № 152-ФЗ: в течение 24 часов — уведомить Роскомнадзор, в течение 72 часов — направить результаты внутреннего расследования.

ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Данные, предоставляемые субъектом персональных данных - Не собираются.
2. Персональные данные, собираемые автоматически

• Идентификаторы и сведения об использовании веб-сайта, собираемые посредством сервиса веб-аналитики Яндекс.Метрика.
• Технические данные о посещении сайта и действиях пользователя в пределах сайта, собираемые автоматически.

1. Персональные данные, получаемые из сторонних сервисов

• Данные, получаемые из сервиса Яндекс.Метрика.
• Данные из сторонних сервисов, используемых для работы аккаунтов.

Оператор не продаёт и не передаёт персональные данные третьим лицам в коммерческих целях, не связанных с оказанием услуг субъектам. Оператор заключает с третьими лицами, которым поручается обработка персональных данных, договоры поручения на обработку в соответствии со ст. 6 ч. 3 Федерального закона № 152-ФЗ.
СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор обеспечивает хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных (ч. 7 ст. 5 Федерального закона № 152-ФЗ).

По достижении цели обработки или по истечении установленного срока хранения персональные данные подлежат уничтожению в срок не более 30 (тридцати) дней, если иное не предусмотрено федеральным законом (ч. 7 ст. 5, ч. 3 ст. 21 Федерального закона № 152-ФЗ).

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных имеет право:

1. Право на получение информации об обработке персональных данных (ст. 14 Федерального закона № 152-ФЗ).
2. Субъект вправе получить от Оператора следующую информацию:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки;
• цели и применяемые Оператором способы обработки;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом прав, предусмотренных Федеральным законом № 152-ФЗ;
• информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

1. Право на уточнение, блокирование и уничтожение (ст. 21 Федерального закона № 152-ФЗ).
2. Субъект вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3. Оператор обязан принять необходимые меры по уточнению, блокированию или уничтожению персональных данных либо обеспечению их принятия в срок, не превышающий 7 (семи) рабочих дней с даты получения соответствующего требования, и уведомить субъекта о принятых мерах.
4. Право на отзыв согласия (ст. 9 ч. 2 Федерального закона № 152-ФЗ).
5. Субъект вправе отозвать согласие на обработку персональных данных. Отзыв согласия не влияет на законность обработки, осуществлявшейся на основании согласия до его отзыва. В случае отзыва согласия Оператор прекращает обработку персональных данных и уничтожает их в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва, за исключением случаев, когда обработка может быть продолжена на ином правовом основании.
6. Право на защиту прав субъекта персональных данных (ст. 15 Федерального закона № 152-ФЗ).
7. В целях защиты прав и законных интересов субъект персональных данных вправе:

• запрашивать у Оператора информацию об обработке его персональных данных;
• требовать от Оператора прекращения обработки персональных данных в случае нарушения законодательства;
• обращаться к Оператору с требованием о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке — Оператор обязан немедленно прекратить такую обработку.

1. Права при принятии решений на основании автоматизированной обработки (ст. 16 Федерального закона № 152-ФЗ).
2. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия субъекта в письменной форме. Оператор обязан разъяснить субъекту порядок принятия решения на основании автоматизированной обработки и возможные юридические последствия такого решения, а также предоставить возможность заявить возражение.
3. Право на обжалование действий Оператора (ст. 17 Федерального закона № 152-ФЗ).
4. Субъект, считающий, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
5. Право на получение сведений о передаче данных третьим лицам.
6. Субъект вправе получить информацию, касающуюся обработки его персональных данных, в том числе содержащую сведения о лицах, которым персональные данные были переданы на основании договора или федерального закона.

ПОРЯДОК ОБРАЩЕНИЯ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Для реализации своих прав субъект персональных данных направляет Оператору запрос в свободной форме одним из следующих способов:

• по электронной почте: info@kerastil.ru;
• почтовым отправлением по адресу: 197348 г. Санкт-Петербург, Коломяжский пр-кт, 18 литер А, помещ. 34-Н.

Запрос должен содержать:

• фамилию, имя, отчество субъекта (при наличии);
• номер основного документа, удостоверяющего личность субъекта, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта в отношениях с Оператором (номер заказа, адрес электронной почты, использованный при регистрации, иные данные), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его законного представителя.

Оператор рассматривает запрос в течение 30 (тридцати) календарных дней с момента получения обращения (ст. 20 ч. 1 Федерального закона № 152-ФЗ).
В случае если предоставленные сведения не позволяют идентифицировать субъекта, Оператор вправе запросить дополнительные документы. Срок рассмотрения в таком случае исчисляется с момента получения Оператором дополнительных сведений.
Вся переписка, связанная с обработкой персональных данных, хранится Оператором в течение 3 (трёх) лет с момента обращения.
Результаты рассмотрения запроса (информация или мотивированный отказ) направляются субъекту в форме, позволяющей подтвердить факт предоставления ответа.

МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Федерального закона № 152-ФЗ).
Технические меры:

• передача данных осуществляется по защищённому протоколу HTTPS (TLS 1.2 и выше);
• хранение паролей в хэшированном виде с использованием криптографически стойких алгоритмов;
• разграничение прав доступа к информационным системам, содержащим персональные данные;
• регулярное обновление программного обеспечения и устранение уязвимостей;
• резервное копирование данных с заданной периодичностью;
• использование средств антивирусной защиты;
• мониторинг и обнаружение несанкционированного доступа к персональным данным;
• использование межсетевых экранов (firewall) для защиты информационных систем.

Организационные меры:

• назначение лица, ответственного за организацию обработки персональных данных;
• издание внутренних нормативных документов, определяющих политику Оператора в отношении обработки персональных данных;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, а также с требованиями к защите персональных данных;
• ограничение доступа к персональным данным кругом лиц, которым такой доступ необходим для выполнения служебных (трудовых) обязанностей;
• ведение журнала учёта доступа к персональным данным и регистрация действий по обработке;
• проведение регулярных проверок и аудитов соблюдения порядка обработки и защиты персональных данных;
• разработка и выполнение плана реагирования на инциденты, связанные с нарушением безопасности персональных данных;
• обучение работников правилам работы с персональными данными не реже одного раза в год;
• осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам.

Правовые меры:

• подготовка и утверждение локальных актов по вопросам обработки персональных данных;
• заключение договоров поручения обработки персональных данных с третьими лицами в соответствии со ст. 6 ч. 3 Федерального закона № 152-ФЗ;
• включение в договоры с работниками и контрагентами обязательств по обеспечению конфиденциальности персональных данных.

Оператор уведомляет Роскомнадзор об инцидентах, связанных с нарушением безопасности персональных данных, в порядке и сроки, установленные ч. 3.1 ст. 21 Федерального закона № 152-ФЗ.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Лица, совершившие нарушения требований Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», несут гражданскую, уголовную, административную и иную ответственность в соответствии с законодательством Российской Федерации (ст. 24 Федерального закона № 152‑ФЗ).
Административная ответственность за нарушение законодательства о персональных данных устанавливается ст. 13.11 Кодекса Российской Федерации об административных правонарушениях в редакции, действующей на момент правонарушения, включая изменения, внесённые Федеральным законом № 420‑ФЗ от 30.11.2024 (вступившим в силу 30.05.2025). В частности:

• Обработка персональных данных без правового основания или обработка, несовместимая с целями их сбора, влечёт административную ответственность в размере, установленном законом, с учётом масштабов нарушения и числа затронутых субъектов.
• Обработка персональных данных без письменного согласия субъекта (в случаях, когда такое согласие требуется) влечёт ответственность в соответствии с действующей редакцией ст. 13.11 КоАП РФ; повторные нарушения рассматриваются с ужесточением санкций в порядке, установленном законом.
• Невыполнение обязанности по опубликованию политики обработки персональных данных влечёт административную ответственность в пределах, установленных КоАП РФ.
• Непредоставление субъекту персональных данных информации об обработке его персональных данных влечёт административную ответственность в размере, предусмотренном действующей редакцией ст. 13.11 КоАП РФ.
• Невыполнение требования субъекта о уточнении, блокировании или уничтожении персональных данных влечёт ответственность в пределах, установленных законом.
• Необеспечение сохранности персональных данных при неавтоматизированной обработке, повлёкшее неправомерный доступ или утрату, влечёт административные санкции в соответствии с КоАП РФ.
• Нарушение требований о локализации баз данных персональных данных на территории Российской Федерации влечёт ответственность, предусмотренную действующей редакцией ст. 13.11 КоАП РФ, включая повышенные санкции при повторных нарушениях.
• Нарушение порядка уведомления уполномоченных органов об инцидентах, повлёкших нарушение безопасности персональных данных, влечёт административную ответственность в размерах, установленных действующей редакцией ст. 13.11 КоАП РФ.
• Незаконная передача персональных данных, повлёкшая их утечку, влечёт административную ответственность; за повторные или особо крупные правонарушения по действующей редакции КоАП РФ предусмотрены повышенные санкции, включая расчёт штрафа с применением шкалы, зависящей от оборота организации (оборотные штрафы).

Моральный вред, причинённый субъекту персональных данных в результате нарушения его прав, подлежит возмещению в порядке, установленном законодательством Российской Федерации; возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесённых субъектом убытков (ст. 24 ч. 2 Федерального закона № 152‑ФЗ).

ПОРЯДОК РАЗРЕШЕНИЯ СПОРОВ
До обращения в суд субъект персональных данных направляет Оператору письменную претензию с указанием сути нарушения и требований. Претензия направляется на адрес электронной почты info@kerastil.ru или почтовым отправлением по адресу: 197348 г. Санкт-Петербург, Коломяжский пр-кт, 18 литер А, помещ. 34-Н.
Оператор рассматривает претензию и направляет мотивированный ответ в течение 30 (тридцати) календарных дней с момента получения претензии.
В случае недостижения согласия спор передаётся на рассмотрение в суд по месту нахождения Оператора в соответствии с законодательством Российской Федерации.
Субъект персональных данных вправе обратиться за защитой своих прав в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

• адрес: 109992, г. Москва, Китайгородский проезд, д. 7, стр. 2;
• сайт: https://rkn.gov.ru;
• портал обращений: https://pd.rkn.gov.ru.

К настоящему документу и отношениям между Оператором и субъектом персональных данных применяется законодательство Российской Федерации.

ОТРАСЛЕВЫЕ ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
При заключении договора поставки дымоходов и комплектующих с физическим лицом обработка персональных данных заказчика (ФИО, номер телефона, адрес электронной почты, адрес объекта установки) допускается без отдельного согласия в целях исполнения договора, стороной которого является субъект персональных данных, — на основании п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При этом субъект персональных данных подлежит уведомлению об обработке его персональных данных. Адрес объекта установки подлежит включению в перечень обрабатываемых персональных данных в Политике конфиденциальности.
Фотографии объектов, получаемые в рамках оказания услуг по поставке и консультациям, подлежат правовой оценке с учетом содержания таких изображений. В случае если на фотографиях могут быть запечатлены физические лица, обработка соответствующих изображений осуществляется при наличии правового основания, предусмотренного ст. 9 или ст. 11 Федерального закона № 152-ФЗ, в зависимости от характера обрабатываемых сведений. Порядок получения и использования таких материалов должен быть урегулирован договором и Политикой конфиденциальности.
Политика обработки персональных данных должна содержать специальные цели обработки, характерные для поставки дымоходов и комплектующих, включая расчет стоимости, подготовку сметы, координацию выезда специалиста, заключение и исполнение договора поставки, а также гарантийное обслуживание. Указанные цели подлежат конкретизации в зависимости от способа обращения клиента, в том числе через формы заявки и обратной связи на сайте. Обработка персональных данных вне заявленных целей не допускается.
При использовании формы заявки на консультацию либо обратной связи согласие субъекта персональных данных должно прямо предусматривать цель обработки: «обработка заявки на поставку дымоходов и комплектующих, организация выезда специалиста». Объединение данной цели с согласием на рекламные или информационные рассылки в одном чекбоксе недопустимо. Для рассылок рекламного характера подлежит оформлению отдельное согласие с возможностью последующего отказа от их получения.

Правила использования мессенджеров для обработки персональных данных

1. Общие положения
2. 1.1. Настоящий раздел устанавливает правила приема и обработки персональных данных субъектов через корпоративные мессенджеры и мессенджер-каналы.
3. 1.2. Под мессенджерами понимаются официально утверждённые Оператором средства обмена сообщениями (корпоративные аккаунты Telegram, VK/Workplace, WhatsApp Business и иные сервисы, перечисленные в локальном регламенте).
4. 1.3. Переписка в мессенджерах рассматривается как одна из форм обращения и может содержать персональные данные; при этом для передачи и обработки особо чувствительных данных применяются дополнительные ограничения, описанные ниже.
5. Принципы обработки через мессенджеры
6. 2.1. Принцип минимизации: сотрудники принимают от клиента в мессенджере только те персональные данные, которые необходимы для первичной коммуникации и квалификации запроса.
7. 2.2. Принцип учёта и фиксации: каждое обращение через мессенджер регистрируется в CRM/журнале обращений с указанием даты, времени, имени сотрудника и краткого содержания обращения.
8. 2.3. Принцип ответственности: сотрудники обязаны следовать правилам конфиденциальности и немедленно сообщать ответственному за ПДн о любых инцидентах безопасности.
9. Запрещённые к пересылке сведения
10. 3.1. Запрещается пересылать через мессенджеры и публичные чаты следующие сведения:

• паспортные данные, сканы/фотографии паспорта и других удостоверений личности;
• сведения о здоровье и медицинские данные;
• полные платёжные реквизиты (номер банковской карты, CVV/CVC, PIN-коды), данные банковских счетов и платёжные инструменты;
• СНИЛС, данные о налогоплательщике (ИНН физических лиц) и иные специальные категории персональных данных, отнесённые законодательством к чувствительным.
• 3.2. При получении от субъекта запрещённых данных сотрудник обязан:
• незамедлительно уведомить субъекта о недопустимости передачи таких данных через мессенджер;
• удалить файл/сообщение из чата, если это технически возможно, и зафиксировать факт удаления в журнале обращений;
• предложить безопасный канал передачи (см. раздел 4) и инициировать перевод клиента в защищённый канал.

1. Порядок перевода в защищённый канал
2. 4.1. Для передачи критичных документов и данных Оператор использует только защищённые каналы: HTTPS-форма на официальном сайте с хранением файлов на серверах, локализованных в РФ; личный кабинет с авторизацией; шифрованная корпоративная электронная почта или сервис электронного документооборота, утверждённый Оператором.
3. 4.2. Шаблон сообщения при переводе: «В целях безопасности мы не принимаем [паспорт/медданные/платёжные реквизиты] в мессенджерах. Могу прислать ссылку на защищённую форму/пригласить в личный кабинет/направить инструкцию по защищённой передаче. Какой способ удобен?»
4. 4.3. При использовании веб-формы она должна: использовать TLS (HTTPS), логировать время и IP (без содержания файлов в логах), привязывать загруженные файлы к номеру обращения и сохранять документы в защищённом хранилище с разграничением доступа.
5. 4.4. После получения документов сотрудник подтверждает получение коротким уведомлением в мессенджере без пересылки содержимого (например: «Документы получены, спасибо»).
6. Согласие и информирование
7. 5.1. Сбор согласия: согласие на обработку персональных данных, полученное через мессенджер, фиксируется в CRM и сопровождается ссылкой на Политику обработки персональных данных и указанием цели обработки.
8. 5.2. Отдельное согласие: для направлений, требующих отдельного письменного согласия (например маркетинговые рассылки), используется отдельная форма согласия, не объединённая с согласием на обработку данных в рамках исполнения договора.
9. Обязанности сотрудников и ответственные лица
10. 6.1. Сотрудники обязаны: принимать обращения только через официальные корпоративные аккаунты; не сохранять критичные документы в личных чатах; немедленно переводить клиентов в защищённый канал при необходимости; при инциденте — уведомлять ответственного за ПДн в течение установленного регламента.
11. 6.2. Оператор назначает лицо, ответственное за организацию обработки ПДн, и публикует его контакт для обращений.
12. Логи, хранение и удаление данных
13. 7.1. Логи переписки и записи о переводе обращения хранятся в CRM на срок, предусмотренный политикой хранения ПДн.
14. 7.2. Само содержимое запрещённых к хранению файлов в мессенджерах не сохраняется; при необходимости файлы должны быть пересланы через защищённый канал и удалены из чатов.
15. Инциденты и реагирование
16. 8.1. В случае обнаружения факта передачи запрещённых данных или утечки сотрудник обязан: немедленно уведомить ответственного за ПДн; изолировать и удалить данные при возможности; зафиксировать инцидент и начать процедуру внутреннего расследования.
17. 8.2. Оператор уведомляет регулятора и субъекта данных в сроки, предусмотренные законодательством, в случае подтверждённой утечки.
18. Обучение и контроль
19. 9.1. Оператор обеспечивает обучение сотрудников правилам работы с мессенджерами и обработкой ПДн не реже одного раза в год.
20. 9.2. Проводится регулярный аудит использования мессенджеров и выборочная проверка переписок в рамках соблюдения политики (с соблюдением норм приватности).
21. Заключительные положения
22. 10.1. Настоящий раздел является неотъемлемой частью Политики обработки персональных данных.
23. 10.2. Оператор вправе вносить изменения в правила использования мессенджеров; о существенных изменениях Пользователи уведомляются в порядке, предусмотренном общей Политикой.

Регламент по использованию мессенджеров (Telegram, WhatsApp и аналоги)

1. Общие положения
2. 1.1. На сайте kerastil.ru размещены ссылки и кнопки для связи через мессенджеры Telegram и WhatsApp с целью быстрой оперативной коммуникации с пользователями.
3. 1.2. Пользователь информируется, что мессенджеры не являются защищённым каналом передачи персональных данных в смысле статьи 19 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных». Передача конфиденциальных персональных данных через мессенджеры осуществляется на риск пользователя.
4. Запрещённые категории данных при переписке в мессенджерах
5. 2.1. Запрещается передавать через мессенджеры следующие категории персональных данных:

• паспортные данные (серия, номер, данные страницы паспорта и иные идентификаторы паспорта);
• медицинские данные и сведения о состоянии здоровья;
• платёжные реквизиты (полные номера банковских карт, CVV/CVC, PIN‑коды, номера банковских счетов);
• биометрические данные и иные специальные категории персональных данных;
• иные сведения, раскрытие которых требует повышенной защиты согласно действующему законодательству.
• 2.2. Передача указанных данных через мессенджеры без регламента и дополнительных мер защиты рассматривается как нарушение мер обеспечения безопасности персональных данных (ст. 19 ФЗ‑152) и может повлечь административную ответственность по ч. 6 ст. 13.11 КоАП РФ.

1. Предупреждение пользователей и стандартные формулировки
2. 3.1. Перед началом переписки сотрудник обязан направить пользователю стандартное предупреждение или иметь в автосообщении следующий текст:
3. «Внимание: мессенджеры (Telegram, WhatsApp) не являются защищённым каналом передачи персональных данных. Не пересылайте паспортные, медицинские или платёжные данные через мессенджеры. Для передачи конфиденциальной информации используйте защищённую форму на сайте, личный кабинет или e‑mail с шифрованием — info@kerastil.ru».
4. 3.2. Рекомендуется установить этот текст как автоответ при первом контакте через мессенджер.
5. Разрешённый объём данных в мессенджерах
6. 4.1. В мессенджерах допускается обмен общей информацией, предварительными уточнениями, согласованием времени выезда специалистов, подтверждением получения заявки и иными сведениями, не относящимися к запрещённым категориям.
7. 4.2. При необходимости передачи чувствительных сведений обязательна предварительная передача в защищённый канал (см. п. 5).
8. Перевод коммуникации в защищённый канал (обязательное действие)
9. 5.1. Если пользователь намерен передать документы или сведения, подпадающие под повышенную защиту, сотрудник обязуется:

• предложить и обеспечить перевод коммуникации в один из защищённых каналов: защищённая HTTPS‑форма на сайте; личный кабинет с двухфакторной аутентификацией; зашифрованный e‑mail (S/MIME или PGP) с подтверждением получения; личная встреча или передача через курьерскую службу; документируемая передача через платёжного/документооборотного провайдера с шифрованием.
• 5.2. Сотрудник фиксирует предложение перевода и решение клиента (согласие/отказ) в CRM или журнале переписки.

1. Действия сотрудника при получении запрещённых данных через мессенджер
2. 6.1. При получении от пользователя запрещённых данных сотрудник обязан:

• немедленно уведомить ответственного за обработку персональных данных (контакт указан во внутреннем регламенте);
• запросить у пользователя перевод коммуникации в защищённый канал;
• удалить запрещённые данные из переписки (при технической возможности) либо скрыть/сделать недоступными в служебном интерфейсе;
• зафиксировать факт получения, принятые меры и удаление в журнале инцидентов (с указанием времени, ФИО клиента, содержания сообщения и принятых мер);
• при необходимости инициировать процедуру уведомления об инциденте в соответствии с разделом «Уведомления об инцидентах» Политики (уведомление Роскомнадзора в течение 24 часов, уведомление пострадавших в течение 72 часов).
• 6.2. Если удаление невозможно (архивы, резервные копии), сотрудник обязан доложить ответственному и выполнить действия по обезличиванию/удалению в сроки, предусмотренные внутренним регламентом.

1. Журналирование, хранение и удаление переписки
2. 7.1. Все случаи получения запрещённых данных и инциденты фиксируются в журнале инцидентов. Журнал содержит: дату и время, ФИО клиента, канал (Telegram/WhatsApp), содержание сообщения (описание, не обязательно полный текст), принятые меры и ответственного сотрудника.
3. 7.2. Переписка, содержащая служебную информацию (без запрещённых данных), хранится не дольше, чем это необходимо для исполнения служебных обязанностей, но не более 1 года, если иное не предусмотрено внутренними правилами.
4. 7.3. После фиксации инцидента запрещённые данные удаляются и составляется акт удаления; копии в резервных системах помечаются для удаления при первой возможности в рамках политики резервного копирования.
5. Автоответы и шаблоны сообщений (рекомендуется внедрить)
6. 8.1. Шаблон автоответа при первом контакте:
7. «Спасибо за обращение! Внимание: мессенджеры не являются защищённым каналом передачи персональных данных. Не пересылайте паспортные, медицинские или платёжные данные. Для передачи конфиденциальной информации используйте защищённую форму на сайте или e‑mail с шифрованием — info@kerastil.ru.»
8. 8.2. Шаблон ответа при запросе клиента переслать документ:
9. «Для безопасности ваших данных мы не можем принять паспорт/платёжные реквизиты в мессенджере. Пожалуйста, перейдите по защищённой форме: [ссылка] или отправьте документ на зашифрованный e‑mail: info@kerastil.ru.»
10. Контроль доступа и обучение сотрудников
11. 9.1. Доступ к учётным записям мессенджеров предоставляется только уполномоченным сотрудникам с оформленной мотивацией и инструкциями.
12. 9.2. Сотрудники, работающие с мессенджерами, проходят инструктаж и ежегодное обучение по правилам обработки ПД, процедурам перевода клиентов в защищённые каналы и действиям при инцидентах.
13. 9.3. Несоблюдение регламента влечёт дисциплинарную ответственность в соответствии с трудовым законодательством и внутренними правилами.
14. Ответственность и санкции
15. 10.1. Нарушение правил обработки ПД в мессенджерах сотрудниками может повлечь дисциплинарную, административную и иную ответственность (включая ответственность организации по ч. 6 ст. 13.11 КоАП РФ при утечке данных).
16. 10.2. Оператор оставляет за собой право применять меры вплоть до увольнения за грубое нарушение регламента.
17. Информирование пользователей и публикация
18. 11.1. Уведомление о рисках использования мессенджеров и правилах безопасной передачи данных размещается публично в Политике конфиденциальности и дублируется в формах обратной связи и в автоответах мессенджеров.
19. 11.2. Рекомендуемая публичная формулировка: «Мессенджеры (Telegram, WhatsApp) не являются защищёнными каналами передачи персональных данных. Не пересылайте паспортные, медицинские или платёжные данные через мессенджеры. Для передачи конфиденциальной информации используйте защищённую форму на сайте или e‑mail с шифрованием — info@kerastil.ru.»
20. Внедрение регламента и аудит
21. 12.1. Регламент утверждается приказом руководителя и вводится в действие с указанием ответственного лица за исполнение.
22. 12.2. Проверки соблюдения регламента проводятся не реже одного раза в год; по результатам проверки формируется отчёт и при необходимости вносятся корректировки.

ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ
Настоящий документ действует бессрочно до замены его новой редакцией.
Оператор вправе вносить изменения в настоящий документ. При внесении существенных изменений Оператор уведомляет Пользователей путём размещения новой редакции на сайте https://kerastil.ru/ не менее чем за 7 (семь) календарных дней до вступления изменений в силу.
К существенным изменениям относятся: изменение целей обработки, расширение категорий обрабатываемых персональных данных, изменение перечня третьих лиц, которым передаются персональные данные, изменение порядка реализации прав субъектов.
Продолжение использования Сервиса после вступления в силу изменений означает принятие Пользователем новой редакции настоящего документа.
Предыдущие редакции документа хранятся Оператором и предоставляются по запросу субъекта персональных данных.
Дата последнего обновления указана в начале настоящего документа.
Дата вступления в силу: 14.04.2026
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «КОНСТРУКТИВ»