Политика обработки персональных данных

Редакция 2.1 · действует с 1 мая 2026 г.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных (далее — «ПДн») Обществом с ограниченной ответственностью «Рейл Проджект Профэшналз» (далее — «Оператор») и меры по обеспечению их безопасности.

1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), постановлением Правительства РФ от 01.11.2012 № 1119, приказом ФСТЭК России от 18.02.2013 № 21 и иными нормативными актами РФ.

1.3. Действие Политики распространяется на всю информацию о субъектах ПДн, которую Оператор может получить о субъекте в ходе использования сайта rpp.ru и в рамках договорных отношений.

2. Оператор

  • Полное наименование: Общество с ограниченной ответственностью «Рейл Проджект Профэшналз»
  • Сокращённое: ООО РПП
  • ИНН: 6658535817
  • ОГРН: 1206600036829
  • Юридический адрес: 620036, Свердловская область, г.о. Екатеринбург, п. Мичуринский, ул. Карасьевская, 50–28
  • Фактический адрес: 620036, г. Екатеринбург, пр. Академика Сахарова, 85
  • Телефон: +7 (343) 227-3000
  • Email: box@rpp.ru

3. Ответственный за организацию обработки ПДн

В соответствии со ст. 22.1 152-ФЗ ответственным за организацию обработки персональных данных у Оператора назначен(а) приказом от 09.07.2020:

  • ФИО: Судовых Андрей Борисович
  • Должность: Управляющий — индивидуальный предприниматель (единоличный исполнительный орган)
  • Контакт для запросов субъектов: box@rpp.ru с темой «Запрос субъекта ПДн»
  • Дата начала обработки ПДн Оператором: 09.07.2020

4. Уведомление в Роскомнадзор

Оператор внесён в Реестр операторов, осуществляющих обработку персональных данных, ведомый Роскомнадзором:

  • Номер уведомления: 8598638
  • Ключ: 23683619
  • Контролирующий орган: Управление Роскомнадзора по Уральскому федеральному округу (620000, г. Екатеринбург, пр. Ленина, 39, а/я 337)

Сведения проверяемы в открытом Реестре операторов: pd.rkn.gov.ru (поиск по ИНН 6658535817).

5. Категории субъектов ПДн

В соответствии с уведомлением, поданным в Роскомнадзор, Оператор обрабатывает персональные данные следующих категорий субъектов:

  • Посетители сайта rpp.ru, заполнившие формы обращения;
  • Контрагенты (заказчики, подрядчики, поставщики);
  • Представители контрагентов — контактные лица, указанные в договорах и сопутствующих документах;
  • Клиенты — лица, обратившиеся за услугами или консультациями.

Обработка персональных данных работников Оператора (включая специальные категории ПДн в части сведений о судимости — для целей кадрового учёта в соответствии с трудовым законодательством) регулируется отдельным внутренним Положением об обработке ПДн работников и не является предметом настоящей Политики.

6. Категории обрабатываемых ПДн

В рамках обработки данных, поступающих через сайт (формы «Запросить расчёт», заявки, обратная связь), Оператор обрабатывает следующие категории:

  • фамилия, имя, отчество и должность контактного лица;
  • номер телефона;
  • адрес электронной почты;
  • наименование организации и её роль (заказчик / подрядчик);
  • описание задачи и иные сведения, добровольно предоставленные субъектом в форме обращения;
  • технические данные: IP-адрес, тип браузера, тип устройства, время отправки формы — для целей обеспечения информационной безопасности и защиты от автоматизированных атак.

В рамках исполнения договоров (цель № 4 уведомления в РКН) Оператор может дополнительно обрабатывать: адрес регистрации, СНИЛС, ИНН, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчётного счёта — в объёме, необходимом для подготовки и исполнения договора.

Через сайт специальные категории персональных данных (раса, национальность, политические взгляды, состояние здоровья, интимная жизнь, сведения о судимости) и биометрические персональные данные не обрабатываются.

7. Цели обработки

В соответствии с уведомлением в РКН Оператор обрабатывает ПДн в следующих целях:

  1. Ведение кадрового и бухгалтерского учёта (работники, уволенные работники, контрагенты);
  2. Обеспечение соблюдения трудового законодательства РФ (работники, соискатели, уволенные работники);
  3. Обеспечение соблюдения налогового законодательства РФ (работники, уволенные работники, контрагенты);
  4. Подготовка, заключение и исполнение гражданско-правового договора (работники, контрагенты, представители контрагентов, посетители сайта) — в эту цель попадает обработка обращений с сайта;
  5. Проведение исследовательских работ (работники, контрагенты, представители контрагентов, клиенты) — статистика и аналитика по обезличенным данным.

8. Правовые основания обработки

  • п. 1 ч. 1 ст. 6 152-ФЗ — согласие субъекта, выраженное путём проставления отметки в чекбоксе формы и/или принятия настоящей Политики при отправке формы;
  • п. 5 ч. 1 ст. 6 152-ФЗ — обработка необходима для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект;
  • п. 2 ч. 1 ст. 6 152-ФЗ — обработка предусмотрена федеральным законом (бухгалтерский учёт по 402-ФЗ, налоговый учёт по НК РФ).

9. Способы и место обработки

9.1. Обработка осуществляется как с использованием средств автоматизации (ИТ-системы Оператора), так и без них (внутренний документооборот).

9.2. Все базы данных, содержащие персональные данные граждан Российской Федерации, размещены на серверах, физически расположенных на территории РФ (ч. 5 ст. 18 152-ФЗ). Используется shared-хостинг Beget (Россия), почтовый сервис Яндекс 360 (Россия), внутренний канал уведомлений Mattermost, размещённый на VDS Оператора (Россия).

9.3. Трансграничная передача персональных данных не осуществляется.

10. Доступ к ПДн внутри Оператора и передача третьим лицам

10.1. Доступ к персональным данным предоставляется ограниченному кругу работников Оператора в рамках выполнения должностных обязанностей по принципу «необходимого знания». С работниками подписаны соглашения о неразглашении.

10.2. Оператор передаёт персональные данные третьим лицам только в случаях:

  • наличия прямого согласия субъекта;
  • исполнения требований уполномоченных государственных органов;
  • передачи привлечённым подрядчикам (например, для выполнения смежных проектных изысканий) исключительно в объёме, необходимом для исполнения договора с субъектом, и при условии заключения с подрядчиком соглашения о конфиденциальности.

11. Сроки обработки и хранения

  • Заявки, не повлёкшие договорных отношений — не более 1 года с момента поступления.
  • Данные по заключённым договорам — в течение срока действия договора и 5 лет после его прекращения, в соответствии с ч. 1 ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте» и ч. 1 ст. 23 НК РФ.
  • Технические логи (IP, user-agent, время отправки формы) — не более 90 дней.
  • По истечении срока данные удаляются или обезличиваются. Факт уничтожения фиксируется актом.

12. Меры обеспечения безопасности

В соответствии со ст. 19 152-ФЗ, постановлением Правительства РФ от 01.11.2012 № 1119 и приказом ФСТЭК России от 18.02.2013 № 21 Оператор применяет:

  • назначение ответственного за организацию обработки ПДн (приказ от 09.07.2020);
  • принятие локальных нормативных актов, регламентирующих процедуры обработки;
  • ограничение доступа сотрудников к ПДн по принципу «необходимого знания»;
  • журналирование операций с ПДн в информационных системах;
  • передача данных через сайт по протоколу HTTPS/TLS 1.2+;
  • регулярное резервное копирование с шифрованием;
  • использование лицензионного антивирусного ПО на рабочих станциях и серверах;
  • физическая защита помещений с ограничением доступа посторонних лиц;
  • уведомление субъекта и Роскомнадзора об инцидентах в порядке и сроки, предусмотренные ст. 21 152-ФЗ.

В соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 Оператор обеспечивает 4-й уровень защищённости (УЗ-4) персональных данных при их обработке в информационных системах. Применяются базовые меры защиты: идентификация и аутентификация субъектов и объектов доступа; управление доступом; ограничение программной среды; защита машинных носителей; регистрация событий безопасности; антивирусная защита; обнаружение вторжений; контроль защищённости; обеспечение целостности и доступности данных; защита среды виртуализации и технических средств; защита от вредоносных программ. Криптографические (шифровальные) средства не используются.

13. Использование cookie и веб-аналитики

13.1. Технические (сессионные) cookie используются для функционирования сайта (например, сохранение состояния интерактивных компонентов, идентификатор анонимного посетителя rpp_did для целей внутренней статистики). Они не содержат прямо идентифицирующих субъекта персональных данных и не требуют отдельного согласия.

13.2. Яндекс.Метрика. На сайте установлен счётчик № 49387213 сервиса «Яндекс.Метрика», предоставляемого ООО «Яндекс» (ИНН 7736207543, юр. адрес: 119021, г. Москва, ул. Льва Толстого, 16; условия использования). Метрика собирает обезличенные данные о посещениях сайта (IP-адрес, параметры устройства и браузера, источник перехода, просмотренные страницы, время и продолжительность визита, действия на странице через инструмент «Вебвизор») с целью анализа посещаемости и улучшения сайта. Обработка данных Яндекс.Метрикой осуществляется на серверах ООО «Яндекс», расположенных на территории РФ; ООО «Яндекс» выступает самостоятельным оператором и обработчиком в части обезличенных данных Метрики (см. Политика конфиденциальности Яндекса). Правовое основание — п. 5 ч. 1 ст. 6 152-ФЗ (обработка необходима для достижения законных интересов Оператора по совершенствованию сайта).

13.3. Маркетинговые и рекламные трекеры (Google Analytics, Facebook Pixel, ретаргетинг-пиксели и подобные) на сайте не используются. Трансграничная передача данных не осуществляется.

13.4. Отказ от Яндекс.Метрики. Посетитель вправе отказаться от сбора данных Яндекс.Метрикой, установив в браузере официальный блокировщик Метрики, либо включив в браузере функцию «Не отслеживать» (DNT), либо используя стандартные блокировщики рекламы / трекеров.

13.5. Настройки cookie управляются в браузере посетителя; отключение технических cookie может привести к нарушению работы отдельных функций сайта.

14. Права субъекта ПДн

В соответствии со статьями 14–18 и 21 152-ФЗ субъект вправе:

  • получать сведения о факте, целях и условиях обработки своих ПДн;
  • требовать уточнения, блокирования или уничтожения ПДн в случае, если они являются неполными, устаревшими, неточными или незаконно полученными;
  • отзывать ранее данное согласие на обработку;
  • обращаться в Управление Роскомнадзора по Уральскому федеральному округу (66.rkn.gov.ru) и/или в суд за защитой своих прав.

Запросы направляются на box@rpp.ru с темой «Запрос субъекта ПДн». Ответ предоставляется в срок не более 10 рабочих дней со дня получения запроса (ч. 4 ст. 14 152-ФЗ); указанный срок может быть продлён, но не более чем на 5 рабочих дней с уведомлением субъекта.

15. Изменения политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда опубликована по адресу rpp.ru/politika-konfidencialnosti/. Существенные изменения, затрагивающие права субъектов, доводятся до субъектов одним из доступных способов связи.

16. Контакты

Все вопросы и обращения — на box@rpp.ru или по телефону +7 (343) 227-3000 в рабочие часы (Пн–Пт, 9:00–18:00 Екб, UTC+5).

Редакция 2.1, утверждена 1 мая 2026 г.. Архив предыдущих редакций предоставляется по запросу.