887abf444e
Получен handoff-пакет liderra_v8_handoff/ от дизайнера Платона (kpd9363@gmail.com) от 07.05.2026 — v8 Forest. Заказчик 08.05 решил применить только в части дизайна, имени, логотипа. Функционал, состав страниц и правила (CTO-11, click-wrap, SSO break-glass, 14 статусов воронки) — без изменений (источник — ТЗ v8.5/schema v8.5). Что сделано: - Массовая замена Лидпоток→Лидерра (с учётом падежей: Лидерры/Лидерре) в 33 файлах (449 вхождений) — все .md/.sql/.json/.toml/.yml/.txt/.html, кроме исторических упоминаний внутри liderra_v8_handoff/ - Удалён docs/brandbook.md v1.1 — заменён на BRANDBOOK_v2.md из handoff - Скопированы 13 концептов liderra_v8_handoff/concepts/v8_*.html в web/v8/. Удалены старые web/01-login.html, 02-dashboard.html, 03-deals.html, index.html (палитра v1.1 deprecated) - CLAUDE.md v1.0→v1.1: §0 (BRANDBOOK_v2 + DEVELOPER_HANDOFF в источниках), §2 (палитра Forest, Inter+JBM, Lucide), §5 п.6 (anti-pattern Inter снят — в Forest Inter наш основной шрифт), §6 (13 концептов в web/v8/) - Реестр Открытые_вопросы_v8_3.md v1.12→v1.13: добавлена запись о ребрендинге + 4 точечных расхождений handoff vs ТЗ (статусы воронки, click-wrap чекбоксы, SSO fallback, axe violations) - package.json/package-lock.json: name lidpotok→liderra 4 расхождения handoff vs ТЗ (НЕ применены, источник истины — ТЗ/schema): 1. 14 «обобщённых» статусов в BRANDBOOK_v2 §3.6 ≠ 14 slug'ов в schema.sql:2076 (совпадает 2 из 14: «Переговоры», «Оплачено»). Источник — schema/ТЗ §6.4 (реселлерская модель из аудита crm.bp-gr.ru, 6 системных + 8 настраиваемых статусов). 2. 3-й click-wrap в v8_login.html («маркетинг-опционально») ≠ ТЗ §1.5/§4.1 («согласие на ПДн», обязательное, OPEN-Ж-3). 3. SSO в v8_admin.html («локальный 2FA fallback») ≠ ТЗ OPEN-И-13 (break-glass super_admin, локальный 2FA выключен). 4. Заявление «axe-core 4.10.2 — 0 violations» в README handoff — локально Pa11y 9.1.1 + axe нашёл 81 violation на 10/13 HTML (преимущественно color-contrast на декоративных separator'ах с --ink-disabled). Чисто: settings/errors/palette_options. Что НЕ включено в коммит: - лендинг/TZ_landing_v1_0.md — untracked, не моя работа в этой сессии - .tmp/ — gitignored Что осталось (для следующих сессий): - Возможное переименование GitHub-репо CoralMinister/lidpotok → liderra (отдельное решение заказчика) - Опционально: обратная связь Платону по 4 расхождениям handoff vs ТЗ Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
483 lines
62 KiB
Markdown
483 lines
62 KiB
Markdown
# Шаблон уведомления в Роскомнадзор об обработке персональных данных — v8.2, Приложение З
|
||
|
||
**Версия:** 8.2 от 04.05.2026 (правки после интервью с заказчиком).
|
||
|
||
## Что нового в v8.2 относительно v8.1
|
||
|
||
- ✅ **DO-1 закрыт → пункт 9 уведомления (адрес ЦОД).** Облачный провайдер выбран — **Yandex Cloud**, регион **ru-central1**. Дата-центры на территории РФ:
|
||
- Москва (основной): ул. Льва Толстого, 16 (примерный адрес кластера, точный — через DPA);
|
||
- Владимирская обл. (резерв);
|
||
- Калужская обл. (резерв).
|
||
|
||
**Формулировка для пункта 9:** «Обработка персональных данных осуществляется с использованием инфраструктуры ООО «ЯНДЕКС.ОБЛАКО» (ИНН 7704458262), сертифицированной по требованиям ФСТЭК России до уровня защищённости УЗ-1 включительно. Серверы расположены на территории Российской Федерации в дата-центрах в городах Москва, Владимир, Калуга. Договор на обработку персональных данных (DPA) заключён в рамках использования сервисов Yandex Cloud. Заявленный нами уровень защищённости — УЗ-4 (постановление №1119, ФСТЭК пр. 21).»
|
||
|
||
- ✅ **Название платформы (Диз-2):** «Лидерра». Везде в шаблоне в полях «Цель обработки», «Описание мер» и т.п. — упоминать сервис как «Лидерра».
|
||
- ⏸ **Б-1 — реквизиты юр. лица:** все поля 1–4 (ИНН, ОГРН, КПП, юр. адрес, наименование, ФИО руководителя) ждут регистрации ООО.
|
||
- ⏸ **OPEN-К-6 — DPA с Yandex Cloud:** задача юриста до подачи уведомления (см. Прил. Ж v8.2 и Открытые вопросы Ю/К-6).
|
||
|
||
**Назначение документа:** структурная заготовка уведомления Роскомнадзора (РКН) о намерении осуществлять обработку персональных данных по форме, утверждённой **Приказом Роскомнадзора от 28.10.2022 №180** (Приложение №1 к приказу). Заполнение и подача — задача заказчика (Ю-4 в Приложении Е). Документ закрывает структурную часть Ю-4: ниже даны конкретные формулировки для всех полей формы с учётом архитектурных решений v8.1 (реселлерская модель Ю-2, четырёхуровневая изоляция CTO-5, хранение в РФ, трёхзвенная цепочка ПДн).
|
||
|
||
**Что закрывает:**
|
||
|
||
- **Ю-4** структурно — даны рекомендуемые формулировки по всем 11 пунктам ч. 3 ст. 22 ФЗ-152 + по матрице категорий из ч. 3.1 (введена 14.07.2022 №266-ФЗ).
|
||
|
||
**Что НЕ закрывает (заказчик должен сделать сам):**
|
||
|
||
- Получение **квалифицированной электронной подписи** для подачи через сайт РКН (`pd.rkn.gov.ru/operators-registry/notification/form/`);
|
||
- Альтернативно — распечатка, подписание и подача на бумаге в территориальный орган РКН по месту регистрации юрлица;
|
||
- Заполнение реквизитов из Б-1 (ИНН, ОГРН, юрадрес, ответственное лицо);
|
||
- Финальная юридическая редактура — подача через юриста заказчика.
|
||
|
||
**Срок подачи (ч. 1 ст. 22 ФЗ-152):** **до начала** обработки ПДн. Если уведомление не подано — нарушение, штрафы по ч. 10 ст. 13.11 КоАП РФ (с 30.05.2025 ужесточены: для юрлиц до 300 000 ₽, для должностных лиц — до значительных сумм; конкретику смотреть на момент подачи).
|
||
|
||
**Способы подачи:**
|
||
|
||
1. Электронно через сайт РКН (`pd.rkn.gov.ru`) с КЭП — через КриптоПро ЭЦП Browser plug-in;
|
||
2. Через Госуслуги (для зарегистрированных юрлиц);
|
||
3. На бумажном носителе почтовым отправлением с описью в территориальный орган РКН по адресу регистрации юрлица.
|
||
|
||
**Срок включения в реестр:** РКН проводит проверку и вносит в Реестр операторов ПДн в течение 30 дней с момента получения. Начинать обработку можно **с даты подачи**, не дожидаясь внесения в реестр.
|
||
|
||
**Базовые ссылки на v8.1:**
|
||
|
||
- 1.5–1.6 — реселлерская модель (формирует «цели обработки» ниже)
|
||
- 22.9 — общий блок 152-ФЗ
|
||
- 22.9.1 — три типа согласий
|
||
- 22.9.4 — локация хранения данных в РФ
|
||
- 22.10 — безопасность платежей
|
||
- Приложение Ж (`Oferta_i_Politika_v8_1.md`) — категории субъектов и правовые основания (Б.1, Б.3 Политики)
|
||
- Приложение Д (`Workflow_pd_subject_requests_v8_1.md`) — workflow обращений субъектов
|
||
|
||
**Переменные документа** (наследуются из Приложения Ж):
|
||
|
||
| Переменная | Источник |
|
||
|---|---|
|
||
| `{{operator_name_full}}` | Б-1: полное наименование юрлица |
|
||
| `{{operator_short_name}}` | Б-1: краткое наименование |
|
||
| `{{operator_inn}}` | Б-1: ИНН |
|
||
| `{{operator_kpp}}` | Б-1: КПП |
|
||
| `{{operator_ogrn}}` | Б-1: ОГРН |
|
||
| `{{operator_address}}` | Б-1: юридический адрес (с индексом) |
|
||
| `{{operator_postal_address}}` | Б-1: почтовый адрес (если отличается) |
|
||
| `{{operator_phone}}` | Б-1: контактный телефон юрлица |
|
||
| `{{operator_email_official}}` | Б-1: официальный email юрлица |
|
||
| `{{operator_signatory_position}}` | Должность подписанта |
|
||
| `{{operator_signatory_name}}` | ФИО подписанта |
|
||
| `{{operator_basis}}` | Основание полномочий («Устав») |
|
||
| `{{processing_start_date}}` | Дата начала обработки (= дата гос. регистрации юрлица или дата запуска сервиса) |
|
||
| `{{platform_domain}}` | `crm-аналог.ru` |
|
||
| `{{privacy_email}}` | Адрес для приёма обращений субъектов ПДн |
|
||
| `{{responsible_person_name}}` | ФИО ответственного за организацию обработки ПДн |
|
||
| `{{responsible_person_phone}}` | Его контактный телефон |
|
||
| `{{responsible_person_email}}` | Его адрес электронной почты |
|
||
| `{{responsible_person_address}}` | Его почтовый адрес |
|
||
| `{{db_location_address}}` | Адрес местонахождения БД с ПДн граждан РФ (адрес ЦОД провайдера: Yandex/VK/Selectel) |
|
||
| `{{cloud_provider_legal_name}}` | Юр. наименование провайдера (например, ООО «Яндекс.Облако») |
|
||
| `{{cloud_provider_inn}}` | ИНН провайдера |
|
||
|
||
**Статус документа:** структурный шаблон v0.1, готовый к заполнению переменных и юр. редактуре.
|
||
|
||
---
|
||
|
||
# УВЕДОМЛЕНИЕ
|
||
|
||
# о намерении осуществлять обработку персональных данных
|
||
|
||
*(в соответствии с Приказом Роскомнадзора от 28.10.2022 №180, Приложение №1 — форма уведомления о намерении осуществлять обработку персональных данных; ч. 3 и ч. 3.1 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»)*
|
||
|
||
В Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по {{rkn_territorial_district}}.
|
||
|
||
> 📝 *Заказчику: территориальный орган РКН выбирается по адресу регистрации юрлица. Список — на pd.rkn.gov.ru.*
|
||
|
||
---
|
||
|
||
## 1. Сведения об операторе (п. 1 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
**Наименование оператора (полное):** {{operator_name_full}}
|
||
|
||
**Сокращённое наименование:** {{operator_short_name}}
|
||
|
||
**ИНН:** {{operator_inn}}
|
||
|
||
**КПП:** {{operator_kpp}}
|
||
|
||
**ОГРН:** {{operator_ogrn}}
|
||
|
||
**Адрес местонахождения (юридический адрес):** {{operator_address}}
|
||
|
||
**Почтовый адрес (если отличается от юридического):** {{operator_postal_address}}
|
||
|
||
**Контактный телефон:** {{operator_phone}}
|
||
|
||
**Адрес электронной почты:** {{operator_email_official}}
|
||
|
||
---
|
||
|
||
## 2. Цели обработки персональных данных (п. 2 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
> 📝 *Юристу: РКН требует перечислить **все** цели. Для каждой цели в части 5 ниже отдельно указываются категории субъектов, категории ПДн, правовые основания, перечень действий и способы. Поэтому здесь — **общий список**, в части 5 — **матрица**.*
|
||
|
||
Оператор осуществляет обработку персональных данных в следующих целях:
|
||
|
||
**Цель 1.** Регистрация и ведение учётных записей клиентов (Тенантов) в SaaS-платформе «{{platform_name}}», размещённой по адресу `https://{{platform_domain}}`.
|
||
|
||
**Цель 2.** Исполнение договорных обязательств перед клиентами в рамках публичной оферты, опубликованной на сайте Оператора, включая биллинг, формирование счетов, актов, УПД и иных учётных документов.
|
||
|
||
**Цель 3.** Приём, хранение и передача клиентам-Тенантам данных физических лиц-лидов, поступающих Оператору от партнёра-агрегатора (ООО «БП-Групп», `crm.bp-gr.ru`) на основании заключённого с ним корпоративного договора. Цель достигается на основании договоров с Тенантами в рамках исполнения которых эти данные доставляются.
|
||
|
||
**Цель 4.** Учёт и обработка обращений субъектов персональных данных в реализацию их прав, предусмотренных статьями 14–21 ФЗ-152 (право на доступ, на уточнение, на удаление, на ограничение обработки).
|
||
|
||
**Цель 5.** Обеспечение информационной безопасности и противодействие неправомерному доступу к персональным данным (ведение журналов аутентификации, аудита действий с ПДн, мониторинг событий безопасности).
|
||
|
||
**Цель 6.** Маркетинговое информирование клиентов (с их отдельного согласия, отзываемого в любой момент).
|
||
|
||
**Цель 7.** Обработка персональных данных работников и кандидатов в работники Оператора в рамках трудовых отношений.
|
||
|
||
> 📝 *Юристу: Цель 7 — стандартная для любого юрлица. Включается, если у Оператора есть работники. Если штат — только генеральный директор как единственный работник, эта цель всё равно нужна.*
|
||
|
||
---
|
||
|
||
## 3. Описание мер по защите персональных данных (п. 7 ч. 3 ст. 22 ФЗ-152, ст. 18.1 и 19 ФЗ-152)
|
||
|
||
Для обеспечения безопасности персональных данных при их обработке Оператором приняты следующие правовые, организационные и технические меры:
|
||
|
||
### 3.1. Правовые меры
|
||
|
||
- утверждены внутренние документы, определяющие политику Оператора в отношении обработки персональных данных, в том числе **Политика конфиденциальности**, опубликованная на сайте `https://{{platform_domain}}/legal`;
|
||
- утверждено внутреннее **Положение об обработке персональных данных работников**;
|
||
- утверждено **Положение об ответственном за организацию обработки персональных данных**, лицо назначено приказом руководителя (см. часть 4 настоящего уведомления);
|
||
- разработаны и утверждены **формы согласий субъектов** на обработку персональных данных, реализованные в виде функциональности учётной записи в SaaS-платформе.
|
||
|
||
### 3.2. Организационные меры
|
||
|
||
- определён перечень лиц, имеющих доступ к персональным данным (внутренний приказ Оператора), с разделением на **5 ролей** (`super_admin`, `finance`, `support`, `compliance`, `viewer`) с минимально необходимым доступом для каждой роли;
|
||
- введена обязательная **двухфакторная аутентификация** для всех сотрудников Оператора, имеющих доступ к административным функциям платформы;
|
||
- доступ оператора поддержки к данным конкретного клиента-Тенанта возможен **только в режиме технического доступа от имени клиента** (Импersonation) с обязательным разовым подтверждением со стороны клиента через одноразовый код, направляемый на проверенный адрес электронной почты;
|
||
- ведётся **журнал действий с персональными данными** (`pd_processing_log`), в который записываются все факты доступа к ПДн со стороны как клиентов-Тенантов, так и сотрудников Оператора (роль актора фиксируется);
|
||
- организован процесс реагирования на запросы субъектов персональных данных в порядке статей 14, 21 ФЗ-152 (в срок не более 30 календарных дней);
|
||
- регулярно (не реже одного раза в год) проводятся внутренние проверки соблюдения требований законодательства о персональных данных;
|
||
- сотрудники Оператора проходят инструктаж по работе с персональными данными при приёме на работу.
|
||
|
||
### 3.3. Технические меры
|
||
|
||
Технические меры реализованы в SaaS-платформе на четырёх уровнях изоляции:
|
||
|
||
а) **Уровень приложения:** каждый запрос привязан к идентификатору клиента-Тенанта (`tenant_id`), проверка осуществляется через middleware фреймворка Laravel и глобальные scope-ограничения моделей;
|
||
|
||
б) **Уровень очередей:** все асинхронные задачи наследуются от базового класса `TenantAwareJob`, который сохраняет и восстанавливает контекст клиента;
|
||
|
||
в) **Уровень линтера:** автоматизированная проверка моделей на CI-сервере на корректность изоляции (утилита `assertTenantIsolation`) с блокировкой развертывания при нарушениях;
|
||
|
||
г) **Уровень базы данных:** **Row-Level Security PostgreSQL** — 29 политик доступа на 30 таблиц с персональными данными, работающих под трёх различными ролями БД (`crm_app_user` — обычная роль, на которую действуют политики; `crm_admin_user` и `crm_migrator` — ограниченные роли с явным `BYPASSRLS` для административных задач).
|
||
|
||
Дополнительные технические меры:
|
||
|
||
- передача данных по сети — **исключительно по HTTPS** (TLS 1.2+) с включённым HSTS, secure cookies и Content Security Policy;
|
||
- хранение паролей в виде хешей по алгоритму **bcrypt с фактором стоимости 12**;
|
||
- регулярное **резервное копирование** базы данных с шифрованием (WAL-G + S3);
|
||
- **мониторинг безопасности** через Sentry (трекинг ошибок), Prometheus + Grafana (метрики);
|
||
- защита от типовых атак (SQL injection, XSS, CSRF) средствами фреймворка и проверками на уровне CI;
|
||
- ограничение скорости запросов (rate limiting) на уровне веб-сервера (Nginx) и приложения.
|
||
|
||
### 3.4. Сведения о шифровальных (криптографических) средствах
|
||
|
||
> 📝 *Юристу: РКН требует наименование и место расположения СКЗИ (если используются).*
|
||
|
||
На дату подачи настоящего уведомления Оператор использует следующие шифровальные средства:
|
||
|
||
- **TLS 1.2/1.3** для защиты транспорта данных между клиентом и серверной инфраструктурой (стандартные открытые библиотеки, не требуют сертификации ФСБ);
|
||
- **bcrypt** для хранения паролей пользователей (алгоритм хеширования, не СКЗИ в смысле постановления Правительства №211);
|
||
- **AES-256** в составе функциональности резервного копирования и шифрования объектного хранилища у облачного провайдера.
|
||
|
||
Сертифицированные ФСБ России криптографические средства (СКЗИ) **не применяются**, поскольку обрабатываемые персональные данные не относятся к категориям, для которых такое применение обязательно (требования 4-го уровня защищённости по постановлению Правительства РФ от 01.11.2012 №1119; категории ПДн — иные, см. часть 5 настоящего уведомления).
|
||
|
||
> 📝 *Юристу + DevOps: проверить уровень защищённости информационной системы по постановлению №1119 после выбора облачного провайдера. Для уровня защищённости 4 (наш ожидаемый случай) сертифицированные СКЗИ не обязательны. Для уровня защищённости 1–3 — обязательны. Это влияет на текст пункта 3.4.*
|
||
|
||
---
|
||
|
||
## 4. Лицо, ответственное за организацию обработки персональных данных (п. 7.1 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
**ФИО ответственного:** {{responsible_person_name}}
|
||
|
||
**Контактный телефон:** {{responsible_person_phone}}
|
||
|
||
**Адрес электронной почты:** {{responsible_person_email}}
|
||
|
||
**Почтовый адрес:** {{responsible_person_address}}
|
||
|
||
> 📝 *Заказчику: ответственный назначается отдельным приказом руководителя. Это может быть сам руководитель организации, либо специально назначенное лицо. Для архитектуры v8.1 функционально это лицо, имеющее в админке роль `compliance` или `super_admin`. Заранее рассмотреть вопрос замещения на период отпуска / больничного — РКН требует актуальности данных, изменения подаются в течение 15 рабочих дней.*
|
||
|
||
---
|
||
|
||
## 5. Матрица обработки по целям (ч. 3.1 ст. 22 ФЗ-152)
|
||
|
||
> 📝 *Юристу: ч. 3.1 (введена 14.07.2022 №266-ФЗ) требует **по каждой цели отдельно** указать: (а) категории ПДн, (б) категории субъектов, (в) правовое основание, (г) перечень действий, (д) способы обработки. Ниже — матрица для всех 7 целей. РКН валидирует, чтобы согласие на обработку (если оно — основание) или иное правовое основание соответствовало составу собираемых данных.*
|
||
|
||
### Цель 1. Регистрация и ведение учётных записей клиентов
|
||
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| **Категории субъектов ПДн** | Физические лица, являющиеся клиентами Оператора, либо представителями клиентов-юридических лиц, зарегистрированными на платформе. |
|
||
| **Категории ПДн** | Идентификационные (фамилия, имя, отчество); контактные (адрес электронной почты, телефон); аутентификационные (пароль в виде хеша; данные двухфакторной аутентификации). |
|
||
| **Правовое основание** | Пункт 5 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения договора, стороной которого является субъект); согласие субъекта (пункт 1 части 1 статьи 6 ФЗ-152), даваемое при регистрации в форме акцепта Оферты и Политики конфиденциальности. |
|
||
| **Перечень действий с ПДн** | Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, обезличивание. |
|
||
| **Способы обработки** | Автоматизированная обработка с использованием средств вычислительной техники. |
|
||
|
||
### Цель 2. Биллинг и финансово-учётные операции
|
||
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| **Категории субъектов ПДн** | Клиенты-Тенанты (как выше); представители контрагентов и плательщиков. |
|
||
| **Категории ПДн** | Идентификационные; контактные; платёжные (реквизиты для безналичных расчётов; история транзакций без полных номеров банковских карт — карточные данные обрабатываются на стороне платёжного шлюза, имеющего сертификацию PCI DSS, и не передаются Оператору); сведения, необходимые для формирования первичных учётных документов (ИНН, ОГРН, КПП клиента-юрлица). |
|
||
| **Правовое основание** | Пункт 5 части 1 статьи 6 ФЗ-152 (исполнение договора); пункт 2 части 1 статьи 6 ФЗ-152 (обработка необходима для достижения целей, предусмотренных федеральным законом — Налоговым кодексом РФ, Федеральным законом от 22.05.2003 №54-ФЗ, Федеральным законом от 06.12.2011 №402-ФЗ «О бухгалтерском учёте»). |
|
||
| **Перечень действий с ПДн** | Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (в адрес платёжных операторов и банков для проведения расчётов; в адрес налоговых органов в случаях, предусмотренных законом), блокирование, удаление. |
|
||
| **Способы обработки** | Автоматизированная обработка. |
|
||
|
||
### Цель 3. Приём, хранение и передача данных физлиц-лидов клиентам-Тенантам
|
||
|
||
> 📝 *Юристу (Ю-2): это **ключевая** цель, отличающая нашу деятельность от обычного SaaS. Здесь ясно фиксируется реселлерская модель и трёхзвенная цепочка ПДн.*
|
||
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| **Категории субъектов ПДн** | Физические лица, оставившие заявки на услуги/товары на сайтах партнёра-агрегатора (ООО «БП-Групп», `crm.bp-gr.ru`) или его источниках, и чьи персональные данные были переданы Оператору указанным агрегатором в качестве лидов в рамках заключённого с ним договора. |
|
||
| **Категории ПДн** | Идентификационные (фамилия, имя, отчество, при наличии — указанные физлицом в исходной форме заявки); контактные (телефон, реже — адрес электронной почты); контекстные (тематика заявки и иные сведения, добровольно сообщённые физлицом в исходной форме); технические сведения о факте оставления заявки (при их наличии в передаваемом payload). |
|
||
| **Правовое основание** | Согласие физического лица на обработку персональных данных и на передачу их партнёрам агрегатора, полученное агрегатором (ООО «БП-Групп») при сборе заявки от физлица, в составе которого предусмотрена передача персональных данных в адрес Оператора как партнёра агрегатора (пункт 1 части 1 статьи 6 ФЗ-152); пункт 5 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения договора Оператора с клиентом-Тенантом, в рамках которого Оператор обязан доставлять Тенанту лиды). |
|
||
| **Перечень действий с ПДн** | Получение от агрегатора через программный интерфейс (webhook); запись; хранение; передача клиенту-Тенанту через программный интерфейс платформы; удаление по истечении срока хранения или по обращению субъекта. |
|
||
| **Способы обработки** | Автоматизированная обработка. |
|
||
|
||
> 📝 *Юристу (Ю-2-доп): правовое основание частично опирается на согласие, собранное **другим оператором** (агрегатором). Это допустимо в трёхзвенной цепочке самостоятельных операторов, но критично, чтобы (а) формулировка согласия у агрегатора **явно** упоминала возможность передачи партнёрам, (б) в договоре с агрегатором была зеркальная гарантия (Ю-8). См. разделы Б.7 и А.9.6 Приложения Ж.*
|
||
|
||
### Цель 4. Обработка обращений субъектов ПДн в реализацию прав по 152-ФЗ
|
||
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| **Категории субъектов ПДн** | Любые физические лица, чьи персональные данные обрабатываются Оператором (как клиенты-Тенанты, так и физлица-лиды), направившие обращение в порядке статей 14–21 ФЗ-152. |
|
||
| **Категории ПДн** | Идентификационные данные заявителя (для проверки личности); контактные данные (для переписки); идентификационные данные доверенного представителя при наличии; реквизиты документов, подтверждающих полномочия (для нотариально заверенных заявлений или явок с паспортом). |
|
||
| **Правовое основание** | Пункт 2 части 1 статьи 6 ФЗ-152 (обработка необходима для достижения целей, предусмотренных федеральным законом — статьями 14, 21 ФЗ-152). |
|
||
| **Перечень действий с ПДн** | Сбор (получение обращения), запись, проверка, хранение, использование, передача (при необходимости — в адрес агрегатора и клиентов-Тенантов как вторичных операторов в порядке исполнения требований 152-ФЗ), удаление. |
|
||
| **Способы обработки** | Смешанная обработка (автоматизированная — система учёта обращений; неавтоматизированная — ручной разбор и принятие решений). |
|
||
|
||
### Цель 5. Информационная безопасность
|
||
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| **Категории субъектов ПДн** | Клиенты-Тенанты, физлица-лиды (в части их идентификаторов в журналах), посетители публичных страниц сайта. |
|
||
| **Категории ПДн** | Технические идентификаторы (IP-адреса, User-Agent, идентификаторы сессий, файлы cookie); журналы аутентификации (попытки входа, факт входа); журналы действий с учётной записью. |
|
||
| **Правовое основание** | Пункт 7 части 1 статьи 6 ФЗ-152 (обработка необходима для осуществления прав и законных интересов оператора при условии, что не нарушаются права и свободы субъекта). |
|
||
| **Перечень действий с ПДн** | Сбор, запись, хранение, использование, удаление по истечении сроков хранения (3 года для журналов аудита, иные сроки в зависимости от категории). |
|
||
| **Способы обработки** | Автоматизированная обработка. |
|
||
|
||
### Цель 6. Маркетинговое информирование
|
||
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| **Категории субъектов ПДн** | Клиенты-Тенанты, давшие отдельное согласие на маркетинговые рассылки. |
|
||
| **Категории ПДн** | Контактные данные (адрес электронной почты, телефон); сведения о статусе клиента (тариф, период регистрации) для сегментации. |
|
||
| **Правовое основание** | Согласие субъекта (пункт 1 части 1 статьи 6 ФЗ-152), даваемое отдельно от Оферты и отзываемое субъектом в любой момент путём отметки в Личном кабинете или ссылкой в письме. |
|
||
| **Перечень действий с ПДн** | Сбор, хранение, использование (формирование сегментов, отправка сообщений), удаление при отзыве согласия. |
|
||
| **Способы обработки** | Автоматизированная обработка. |
|
||
|
||
### Цель 7. Обработка персональных данных работников
|
||
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| **Категории субъектов ПДн** | Работники Оператора, лица, претендующие на трудоустройство. |
|
||
| **Категории ПДн** | Сведения, предусмотренные Трудовым кодексом РФ для ведения кадрового учёта (ФИО, паспортные данные, СНИЛС, ИНН, образование, трудовая деятельность, размер оплаты труда, сведения о близких родственниках в случаях, предусмотренных законом). |
|
||
| **Правовое основание** | Пункт 2.3 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения полномочий работодателя по Трудовому кодексу РФ); согласие работника на обработку ПДн, не относящихся непосредственно к трудовым отношениям. |
|
||
| **Перечень действий с ПДн** | Сбор, запись, хранение, использование, передача (в государственные органы — ФНС, СФР, в случаях, предусмотренных законом), удаление по истечении сроков, установленных Трудовым кодексом РФ и законодательством об архивном деле. |
|
||
| **Способы обработки** | Смешанная обработка. |
|
||
|
||
---
|
||
|
||
## 6. Дата начала обработки персональных данных (п. 8 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
**{{processing_start_date}}**
|
||
|
||
> 📝 *Заказчику: согласно разъяснениям РКН, для большинства организаций датой начала обработки ПДн считается **дата государственной регистрации юридического лица** (поскольку с этого момента начинается обработка ПДн работников и контрагентов). Если уведомление подаётся уже после регистрации — указывается фактическая дата гос. регистрации, и подача уведомления является исполнением просроченной обязанности (без штрафа за просрочку, если подано добровольно до проверки).*
|
||
|
||
---
|
||
|
||
## 7. Срок или условие прекращения обработки персональных данных (п. 9 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
Обработка персональных данных осуществляется в течение всего срока деятельности Оператора. Прекращение обработки происходит при наступлении одного из следующих условий:
|
||
|
||
а) ликвидация Оператора как юридического лица;
|
||
|
||
б) прекращение оказания услуг по SaaS-платформе (с уведомлением субъектов и уничтожением их персональных данных в порядке, предусмотренном статьёй 21 ФЗ-152);
|
||
|
||
в) для каждого субъекта ПДн отдельно — отзыв согласия субъекта, истечение срока хранения, удаление по требованию субъекта или по достижении цели обработки.
|
||
|
||
Сроки хранения отдельных категорий персональных данных установлены в Политике конфиденциальности Оператора (раздел 8) и составляют от срока действия учётной записи (для клиентов-Тенантов) до 5 лет (для журналов обработки и согласий).
|
||
|
||
---
|
||
|
||
## 8. Сведения о наличии или отсутствии трансграничной передачи персональных данных (п. 10 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
**Трансграничная передача персональных данных Оператором не осуществляется.**
|
||
|
||
> 📝 *Заказчику + DevOps: критически важно. Все три рассматриваемых облачных провайдера (DO-1: Yandex Cloud, VK Cloud, Selectel) — российские резиденты, и хранение полностью в РФ. Если в будущем появится необходимость трансграничной передачи (например, использование иностранного сервиса аналитики или CDN с серверами за пределами РФ) — необходимо подать уведомление об изменении сведений по форме Приложения №2 к Приказу №180 в течение 15 рабочих дней с момента изменения. Это особый и сложный кейс, требующий отдельного согласования с РКН.*
|
||
|
||
---
|
||
|
||
## 9. Сведения о месте нахождения базы данных, содержащей персональные данные граждан РФ (п. 10.1 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
База данных, содержащая персональные данные граждан Российской Федерации, размещается на территории Российской Федерации в соответствии с требованиями части 5 статьи 18 ФЗ-152.
|
||
|
||
**Адрес местонахождения базы данных:**
|
||
|
||
{{db_location_address}}
|
||
|
||
**Сведения о провайдере услуг хостинга / облачной инфраструктуры:**
|
||
|
||
- Наименование: {{cloud_provider_legal_name}}
|
||
- ИНН: {{cloud_provider_inn}}
|
||
- Основание размещения: договор оказания услуг хостинга / услуг облачной инфраструктуры с провайдером.
|
||
|
||
> 📝 *DevOps + юристу: после выбора провайдера (DO-1) подставить точные реквизиты. Адрес — адрес ЦОД. Для Yandex Cloud в Москве — обычно «Россия, г. Москва, ул. Льва Толстого, 16». Для VK Cloud, Selectel — свои адреса. РКН не требует точного номера стойки, но требует точный почтовый адрес ЦОД.*
|
||
|
||
---
|
||
|
||
## 10. Сведения о лицах, имеющих доступ к ПДн в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
**Не применимо.** Оператор не обрабатывает персональные данные в составе государственных или муниципальных информационных систем.
|
||
|
||
---
|
||
|
||
## 11. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями Правительства РФ (п. 11 ч. 3 ст. 22 ФЗ-152)
|
||
|
||
Безопасность персональных данных обеспечивается в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными постановлением Правительства Российской Федерации от 01.11.2012 №1119.
|
||
|
||
**Установленный уровень защищённости информационной системы персональных данных:** четвёртый.
|
||
|
||
> 📝 *Юристу: уровень защищённости определяется по постановлению №1119 в зависимости от:*
|
||
> *— категории обрабатываемых ПДн (специальные / биометрические / общедоступные / иные);*
|
||
> *— объёма (более или менее 100 000 субъектов);*
|
||
> *— типа угроз (актуальные ли угрозы 1-го, 2-го или 3-го типа).*
|
||
>
|
||
> *Для нашей архитектуры: ПДн **иные** (не специальные), субъектов потенциально **более 100 000** (объём растёт с базой клиентов и лидов), угрозы **3-го типа** (нет угроз, связанных с недокументированными возможностями). По таблице постановления №1119 это даёт **уровень защищённости 4**. Подтвердить с информационной безопасностью / юристом до подачи. Если попадает в УЗ-3 или выше — потребуются сертифицированные СКЗИ (это меняет пункт 3.4).*
|
||
|
||
В соответствии с установленным уровнем защищённости приняты следующие меры:
|
||
|
||
- организационные меры в соответствии с разделом 3.2 настоящего уведомления;
|
||
- технические меры в соответствии с разделом 3.3 настоящего уведомления, включая четырёхуровневую изоляцию данных клиентов с применением Row-Level Security PostgreSQL;
|
||
- определены угрозы безопасности персональных данных, актуальные при их обработке в информационной системе Оператора, на основе модели угроз ФСТЭК России;
|
||
- проведена оценка эффективности принятых мер по защите персональных данных;
|
||
- ведётся учёт машинных носителей информации, содержащих персональные данные;
|
||
- обнаруживаются факты несанкционированного доступа к персональным данным средствами систем мониторинга безопасности.
|
||
|
||
---
|
||
|
||
## Подпись и печать
|
||
|
||
**Уполномоченное лицо:**
|
||
|
||
{{operator_signatory_position}} {{operator_signatory_name}}, действующий на основании {{operator_basis}}.
|
||
|
||
________________________ / {{operator_signatory_name}} /
|
||
|
||
М.П.
|
||
|
||
Дата составления: ________________
|
||
|
||
> 📝 *Заказчику: при электронной подаче — подписывается КЭП через сайт РКН. При бумажной подаче — собственноручная подпись + печать организации (если используется).*
|
||
|
||
---
|
||
|
||
# Приложения к шаблону
|
||
|
||
## Приложение З.А. Чек-лист подачи
|
||
|
||
- [ ] Заполнены все переменные `{{...}}` из раздела «Переменные документа»
|
||
- [ ] Подтверждён уровень защищённости (ожидаемый — УЗ-4) — раздел 11
|
||
- [ ] Назначен ответственный за организацию обработки ПДн отдельным приказом руководителя — раздел 4
|
||
- [ ] Утверждена Политика конфиденциальности (см. Приложение Ж) и опубликована на сайте Оператора — потребуется ссылка для подтверждения РКН
|
||
- [ ] Утверждено внутреннее Положение об обработке персональных данных работников
|
||
- [ ] Подписан договор с облачным провайдером, известен точный адрес ЦОД для пункта 9 — задача DO-1
|
||
- [ ] Подписан договор с агрегатором (ООО «БП-Групп», crm.bp-gr.ru) с зеркальной гарантией о согласии физлиц (Ю-8) — раздел 5, Цель 3
|
||
- [ ] Получена квалифицированная электронная подпись (КЭП) для электронной подачи — либо подготовлен пакет документов для бумажной подачи
|
||
- [ ] Произведена юридическая проверка финального текста уведомления — задача OPEN-Ж-1 + новая
|
||
- [ ] Уведомление подписано уполномоченным лицом, проставлена дата
|
||
- [ ] Подача через `pd.rkn.gov.ru` или Госуслуги (электронно) или почтой с описью (бумажно)
|
||
- [ ] Получено подтверждение приёма уведомления Роскомнадзором
|
||
- [ ] В течение 30 дней — проверена запись в Реестре операторов ПДн (`pd.rkn.gov.ru/operators-registry`)
|
||
- [ ] Полученный регистрационный номер из Реестра подставлен в Политику конфиденциальности (поле `{{rkn_notification_number}}`) и опубликована новая редакция
|
||
|
||
## Приложение З.Б. Сценарии изменения сведений
|
||
|
||
После подачи и внесения в Реестр **любое изменение** сведений из настоящего уведомления подаётся в РКН отдельным уведомлением по форме Приложения №2 к Приказу №180 в срок:
|
||
|
||
- **не позднее 15-го числа месяца, следующего за месяцем изменений** (ч. 7 ст. 22 ФЗ-152) — для большинства случаев;
|
||
- **немедленно после обнаружения** — при исправлении ошибок в ранее поданном уведомлении.
|
||
|
||
Типичные изменения, требующие уведомления:
|
||
|
||
| Что изменилось | Какой пункт уведомления | Триггер в архитектуре v8.1 |
|
||
|---|---|---|
|
||
| Юр. наименование, адрес, реквизиты Оператора | 1 | Реорганизация, переезд |
|
||
| Цели обработки (новая или ушедшая цель) | 2, 5 | Запуск нового продукта, смена бизнес-модели |
|
||
| Описание мер защиты | 3 | Внедрение новых СКЗИ, смена облачного провайдера |
|
||
| Ответственное лицо | 4 | Кадровые изменения |
|
||
| Категории субъектов / категории ПДн / правовые основания | 5 | Расширение функциональности (например, введение биометрии) |
|
||
| Срок и условия прекращения обработки | 7 | Изменение сроков хранения в Политике |
|
||
| Появление трансграничной передачи | 8 | Подключение зарубежного сервиса (CDN, аналитика) — **критично, требует отдельного согласования с РКН** |
|
||
| Местонахождение БД | 9 | Смена облачного провайдера, переезд ЦОД |
|
||
| Уровень защищённости | 11 | Достижение порога 100 000 субъектов или появление специальных категорий ПДн |
|
||
|
||
## Приложение З.В. Связанные документы и зависимости
|
||
|
||
| Внешний документ / решение | Зависимость для подачи уведомления |
|
||
|---|---|
|
||
| **Б-1** (реквизиты юрлица заказчика) | Без них нельзя заполнить раздел 1 |
|
||
| **DO-1** (выбор облачного провайдера) | Без него нельзя заполнить раздел 9 (адрес БД) и раздел 11 (если решение об уровне защищённости опирается на сертификации провайдера) |
|
||
| **Ю-2-доп** (формулировка согласия физлица) | Не блокирует подачу формально (РКН не проверяет формулировки на стороне партнёра), но критично для юридической защиты позиции «правовое основание» в разделе 5 Цели 3 |
|
||
| **Ю-8** (зеркальные гарантии в договоре с агрегатором) | См. Ю-2-доп |
|
||
| **Приложение Ж** (`Oferta_i_Politika_v8_1.md`) | Политика должна быть опубликована до подачи уведомления — РКН может запросить ссылку или проверить наличие на сайте |
|
||
| **Приложение Д** (`Workflow_pd_subject_requests_v8_1.md`) | Не требуется при подаче, но является фактическим описанием процесса по разделу 5 Цели 4 — должен существовать как внутренний документ |
|
||
| **Приказ о назначении ответственного за обработку ПДн** | Внутренний приказ Оператора, должен быть издан до или одновременно с подачей |
|
||
|
||
---
|
||
|
||
# ЧАСТЬ В. РАБОЧИЕ МАТЕРИАЛЫ
|
||
|
||
## В.1. Открытые вопросы для финализации
|
||
|
||
| ID | Вопрос | Кому | Приоритет | Влияние |
|
||
|---|---|---|---|---|
|
||
| **OPEN-З-1** | Подтвердить уровень защищённости ИСПДн (ожидание — УЗ-4 по постановлению №1119) | юрист + ИБ | P0 | Если УЗ-3 или выше — нужны сертифицированные СКЗИ, меняется раздел 3.4 |
|
||
| **OPEN-З-2** | Назначить ответственного за организацию обработки ПДн (отдельный приказ) | бизнес | P0 | Без назначения — нельзя заполнить раздел 4 |
|
||
| **OPEN-З-3** | Получить КЭП для электронной подачи или подготовить бумажный пакет | бизнес + DevOps | P0 | Технический блокер подачи |
|
||
| **OPEN-З-4** | Подтвердить выбор облачного провайдера (закрыть DO-1) | бизнес + DevOps | P0 | Раздел 9 — адрес БД |
|
||
| **OPEN-З-5** | Подготовить и утвердить **Политику конфиденциальности** (Приложение Ж после юр. редактуры) | юрист | P0 | Должна быть опубликована до подачи уведомления |
|
||
| **OPEN-З-6** | Уведомление о начале обработки vs. ретроспективное (если юрлицо уже зарегистрировано и обрабатывает ПДн работников) | юрист | P1 | Влияет на формулировку даты начала и риск замечаний от РКН |
|
||
| **OPEN-З-7** | Утвердить отдельный приказ о Положении об обработке ПДн работников (для Цели 7 раздела 5) | юрист | P1 | РКН может запросить при проверке |
|
||
| **OPEN-З-8** | Сформулировать модель угроз и оценку эффективности мер защиты (для раздела 11) | ИБ | P1 | Формальное требование постановления №1119; для УЗ-4 — упрощённый формат |
|
||
| **OPEN-З-9** | Решить: подавать уведомление в момент юридической регистрации платформы или после Б-1 на спринте 0 | бизнес | P1 | Влияет на сроки запуска; раньше = безопаснее по штрафам, но требует более раннего получения КЭП |
|
||
| **OPEN-З-10** | Точный территориальный орган РКН (по адресу регистрации юрлица) | бизнес | P1 | Для бумажной подачи; для электронной — определяется автоматически |
|
||
| **OPEN-З-11** | Проверить, действительно ли Цель 3 (приём лидов) интерпретируется РКН как требующая уведомления — или агрегатор может «нести» эту цель за нас как первоисточник? | юрист | P1 | Консервативный подход — указываем; вопрос только в формулировках |
|
||
| **OPEN-З-12** | Включать ли явно в раздел 5 Цель 5 (информационная безопасность) или она «растворяется» в Целях 1–4 | юрист | P2 | Большинство шаблонов отделяют; РКН принимает оба варианта |
|
||
| **OPEN-З-13** | Согласовать с информационной безопасностью список фактически применяемых криптографических средств для пункта 3.4 | ИБ | P1 | Влияет на достоверность формулировок |
|
||
| **OPEN-З-14** | Решить, нужно ли отдельное Положение о пропускном режиме (если предполагается работа с офиса с приёмом гостей) — это влияет на отдельную цель «контроль доступа в помещения» | юрист + бизнес | P3 | Для онлайн-сервиса без офиса — неактуально |
|
||
|
||
## В.2. Что обновить в смежных документах при подаче уведомления
|
||
|
||
| Документ | Что меняется |
|
||
|---|---|
|
||
| `Oferta_i_Politika_v8_1.md` (Приложение Ж), пункт Б.1.2 | После получения регистрационного номера — подставить `{{rkn_notification_number}}` и `{{rkn_notification_date}}`, опубликовать новую редакцию Политики (бамп `document_version_policy` → v1.1) |
|
||
| `Oferta_i_Politika_v8_1.md` (Приложение Ж), Часть В.4 (чек-лист публикации v1.0) | Отметить пункт «Подано уведомление в Роскомнадзор, получен номер (Ю-4)» как выполненный |
|
||
| `Открытые_вопросы_v8_1.md` | Закрыть Ю-4 структурно (после подачи); если нужно оставить — переименовать в Ю-4-исп («исполнено») |
|
||
| `CRM_bp-gr_Инструкция_v8_1.md`, раздел 22.9.4 | Заменить ремарку «отдельный артефакт, готовится при необходимости» на ссылку на это Приложение З |
|
||
| `CRM_bp-gr_Инструкция_v8_1.md`, раздел 28 «Приложения» | Добавить шифр З = `Уведомление_РКН_v8_1.md`. Обновить общую сводку: теперь приложения А, Б, В, Г, Д, Е, Ж, З |
|
||
| Внутренние документы Оператора | Издать приказ о назначении ответственного, утвердить Положение об обработке ПДн работников |
|
||
|
||
## В.3. Версионирование
|
||
|
||
| Версия | Дата | Изменения |
|
||
|---|---|---|
|
||
| draft v0.1 | 04.05.2026 | Первый структурный шаблон в рамках сессии 03–04.05.2026, на основе Приложения Ж и архитектуры v8.1 |
|
||
| v1.0 (план) | TBD | Финализация после OPEN-З-1..14, юр. проверка, заполнение всех `{{...}}` |
|
||
| v1.1 (план) | TBD | После подачи и получения регистрационного номера в Реестре РКН — фиксация номера для использования в Политике конфиденциальности |
|
||
|
||
---
|
||
|
||
*Драфт v0.1 от 04.05.2026. Готовится в рамках сессии 03–04.05.2026 как Приложение З к v8.1 (закрытие Ю-4 на структурном уровне).*
|