ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ И ФАЙЛОВ COOKIE 

1. Общие положения 
1.1. Настоящая Политика обработки и защиты персональных данных и файлов Cookie (далее — Политика) определяет порядок и условия обработки персональных данных, меры по их обеспечению безопасности, права субъектов персональных данных, а также содержит сведения об использовании файлов cookie на сайте https://aspex.cloud/ (далее — Сайт). 

1.2. Политика разработана в соответствии с: 

• Федеральным законом РФ № 152-ФЗ «О персональных данных»; 
• Федеральным законом РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 
• Федеральным законом РФ № 242-ФЗ (локализация данных); 
• Федеральным законом РФ № 152.1-ФЗ; 
• Федеральным законом РФ № 98-ФЗ «О коммерческой тайне»; 
• Федеральным законом РФ № 63-ФЗ «Об электронной подписи»; 
• Постановлением Правительства РФ № 1119; 
• Приказом ФСТЭК № 21; 
• Приказом ФСБ № 378; 
• а также иными нормативными актами РФ и требованиями Роскомнадзора. 

1.3. Оператором персональных данных является: 
ООО «АСПЭКС» 
ОГРН: 1227200014172 
ИНН: 7203542876 
КПП: 720301001 
Юридический адрес: 625003, Тюменская обл., г. Тюмень, ул. Клары Цеткин, д. 63, офис 102 
Email: info@aspex.kz 
Телефон: +7 963 057 53 53 

1.4. Настоящая Политика применяется ко всем персональным данным, полученным Оператором от посетителей Сайта, пользователей форм обратной связи, заказчиков, представителей юридических лиц и физических лиц, взаимодействующих с Оператором. 

1.5. Используя Сайт, Пользователь подтверждает, что ознакомился с Политикой и принимает её условия. 

1.6. Сайт и его сервисы не предназначены для использования лицами младше 18 лет. Оператор умышленно не собирает и не обрабатывает персональные данные несовершеннолетних. В случае получения сведений о том, что персональные данные несовершеннолетнего были предоставлены без согласия законного представителя, такие данные будут удалены. 


2. Правовые основания обработки персональных данных 
Оператор осуществляет обработку персональных данных на следующих правовых основаниях: 
2.1. Ст. 6 Федерального закона № 152-ФЗ — обработка персональных данных допускается с согласия субъекта. 

2.2. Ст. 6 п. 5 № 152-ФЗ — обработка необходима для исполнения договора, стороной которого является субъект персональных данных. 

2.3. Ст. 6 пп. 2, 3 № 152-ФЗ — обработка необходима для осуществления прав и законных интересов Оператора. 

2.4. Ст. 9 Федерального закона № 152-ФЗ — получение отдельного согласия субъекта на обработку специальных категорий данных (при необходимости). 

2.5. Федеральный закон № 149-ФЗ — обработка технических данных (IP-адрес, cookies). 

2.6. Федеральный закон № 38-ФЗ «О рекламе» — получение согласия на рассылку рекламных материалов. 

2.7. Федеральный закон № 63-ФЗ — использование простой электронной подписи в электронных формах. 

3. Термины и определения 
В целях настоящей Политики используются следующие термины: 

• Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. 
• Оператор — лицо, которое организует обработку ПДн (ООО «АСПЭКС»). 
• Обработка ПДн — любое действие: сбор, запись, систематизация, хранение, передача, удаление и т.д. 
• Субъект ПДн — физическое лицо, персональные данные которого обрабатываются. 
• Cookies — небольшие файлы, которые сохраняются браузером при посещении сайта. 
• Трансграничная передача ПДн — передача данных на территорию иностранного государства. 
• Третьи лица — организации, которые обрабатывают данные по поручению Оператора. 
• Автоматизированная обработка — обработка данных с использованием компьютеров (CRM, аналитика). 
• Конфиденциальность ПДн — обязанность не раскрывать персональные данные без законного основания. 

4. Принципы обработки персональных данных 
4.1. Обработка персональных данных у Оператора осуществляется на основе следующих принципов: 

• Законность и справедливая основа обработки — обработка осуществляется на законных основаниях и не должна нарушать права субъектов персональных данных. 
• Ограничение обработки достижением конкретных, заранее определённых и законных целей — обработка несовместима с целями сбора данных. 
• Минимизация данных — не допускается обработка персональных данных, избыточных по отношению к заявленным целям. 
• Точность данных — принимаются меры по поддержанию персональных данных в актуальном состоянии. 
• Ограничение срока хранения — данные хранятся не дольше, чем этого требуют цели обработки. 
• Конфиденциальность и безопасность — при обработке обеспечивается защита данных от несанкционированного доступа, утраты, модификации и распространения. 
• Ответственность Оператора — Оператор обеспечивает соблюдение требований законодательства РФ в области персональных данных. 
• Хранение данных на территории РФ — при сборе персональных данных граждан РФ их запись и систематизация осуществляются на серверах, находящихся на территории Российской Федерации (в соответствии с 242-ФЗ). 

5. Цели обработки персональных данных 
5.1. Обработка персональных данных Оператором осуществляется исключительно для достижения конкретных и законных целей, включая: 

• Обработка обращений и заявок 
• Обработка данных, отправленных через формы на сайте, email, по телефону, в мессенджерах или CRM, для обратной связи с пользователями и предоставления информации по запросу. 
• Заключение и исполнение договоров 
• Подготовка и исполнение договоров с юридическими и физическими лицами, оказание услуг, сопровождение коммерческих сделок. 
• Ведение деловой коммуникации 
• Информационный обмен с клиентами, партнёрами, пользователями сайта. 
• Маркетинг и рассылки 
• Информирование пользователей о продуктах и услугах Оператора, персонализированные предложения, рекламные кампании (в т.ч. в рамках ФЗ № 38-ФЗ «О рекламе»). 
• Аналитика и улучшение сервиса 
• Анализ поведения пользователей на сайте, оценка эффективности рекламных каналов, улучшение качества контента, интерфейса и услуг. 
• Финансовый и бухгалтерский учёт 
• Подготовка отчётности, выставление счетов, налоговый и финансовый учёт. 
• Соблюдение требований законодательства 
• Исполнение обязанностей, предусмотренных законодательством Российской Федерации, включая хранение данных и обеспечение информационной безопасности. 

6. Получение согласия на обработку персональных данных 
6.1. Оператор осуществляет обработку персональных данных только при наличии законных оснований, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», включая получение согласия субъекта персональных данных, если иное не предусмотрено законодательством.

6.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах: 

• путем заполнения веб-форм на Сайте (заявка, форма обратной связи, регистрация); 
• путем проставления отметки (чекбокса) при отправке формы на Сайте; 
• путем направления данных на электронную почту Оператора; 
• путем устного подтверждения при телефонном обращении; 
• путем подписания бумажного документа; 
• путем акцепта оферты на заключение договора; 
• посредством продолжения использования Сайта (в отношении обработки файлов cookie и технических данных). 

6.3. В случае направления персональных данных через формы на Сайте согласие считается предоставленным субъектом персональных данных в электронной форме, что является равнозначным согласию, оформленному на бумажном носителе. 

6.4. Согласие на обработку персональных данных для маркетинговых целей (включая e-mail и SMS-рассылки) предоставляется отдельно, путем проставления дополнительной отметки в соответствующей форме или путем подтверждения подписки. 

6.5. Субъект персональных данных вправе в любой момент отозвать свое согласие, направив уведомление Оператору по контактам, указанным в разделе «Контакты» настоящей Политики. Отзыв согласия не влияет на законность обработки данных, осуществленной до момента получения Оператором уведомления об отзыве. 

6.6. Оператор осуществляет фиксацию факта получения согласия, в том числе электронного согласия, и хранит доказательства предоставления такого согласия в соответствии с требованиями законодательства Российской Федерации. 


7. Состав обрабатываемых персональных данных 
7.1. Оператор обрабатывает следующие категории персональных данных: 
7.1.1. Данные, предоставляемые пользователем добровольно 

• Фамилия, имя, отчество (ФИО); 
• Контактный email; 
• Номер телефона; 
• Компания, должность (если указаны в формах); 
• Содержание обращений и переписки; 
• Файлы и документы, переданные через формы. 

7.1.2. Автоматически собираемые данные 

• IP-адрес устройства; 
• Данные браузера и операционной системы; 
• Cookies; 
• Referrer (источник перехода); 
• Время доступа и активность на сайте; 
• Данные Яндекс.Метрика и Google Analytics (web-аналитика). 

7.1.3. Данные из CRM-систем и коммуникационных сервисов 

• Заявки из amoCRM; 
• История запросов; 
• Коммуникации по сделкам; 
• Теги, статусы, комментарии менеджеров. 

7.1.4. Маркетинговые данные 

• Подписки на рассылки; 
• Поведенческие сегменты; 
• Информация о взаимодействии с email-кампаниями (Mailchimp). 

7.2. Специальные категории персональных данных (биометрические, медицинские, политические и др.) Оператором не обрабатываются. 


8. Категории субъектов персональных данных 
8.1. Оператор обрабатывает персональные данные следующих категорий субъектов: 

• Посетители сайта https://aspex.cloud/ 
• Лица, просматривающие страницы сайта и взаимодействующие с его функционалом. 
• Пользователи форм обратной связи 
• Лица, отправляющие запросы, сообщения, заявки, комментарии через веб-формы. 
• Клиенты (физические и юридические лица) 
• Лица, заключающие договоры с Оператором или намеревающиеся заключить договор. 
• Контактные лица клиентов и партнёров 
• Представители юридических лиц, указанные в переписке и договорных документах. 
• Подписчики маркетинговых рассылок 
• Лица, добровольно подписавшиеся на получение новостей или предложений. 
• Заявители вакансий / кандидаты 
• Лица, направляющие резюме и иные данные для трудоустройства. 
• Контрагенты и подрядчики 
• Лица, предоставляющие услуги по договорам с Оператором. 

9. Способы и источники получения персональных данных 
9.1. Персональные данные могут быть получены Оператором следующими способами: 
9.1.1. Данные, предоставляемые субъектом персональных данных: 

• Заполнение форм на сайте; 
• Обращения по email, телефону, в мессенджерах; 
• Передача документов и информации в рамках заключения договора; 
• Передача данных через CRM (например, amoCRM); 
• Предоставление резюме и данных для сотрудничества; 
• Подписка на рассылки. 

9.1.2. Автоматический сбор данных при использовании сайта: 

• Запись Cookies; 
• Аналитика посещаемости (Яндекс.Метрика, Google Analytics); 
• Журналы событий веб-сервера; 
• IP-адреса, устройство, геолокация по IP (приблизительно). 

9.1.3. Получение данных от третьих лиц при законных основаниях: 

• Платформы веб-сайта (Tilda Publishing); 
• CRM-сервисы (amoCRM); 
• Провайдеры email-рассылок (Mailchimp); 
• Хостинг-провайдер (nic.ru); 
• Сервисы аналитики (Яндекс, Google); 
• Государственные органы, если предоставление данных предусмотрено законом. 

9.2. Оператор не осуществляет сбор персональных данных из публичных источников без правового основания и не принимает решения, порождающие юридические последствия для субъектов, на основании исключительно автоматизированной обработки. 


10. Обработка файлов Cookie и трекинг-технологий 
10.1. На Сайте используются файлы Cookie и аналогичные технологии (Web Beacons, Local Storage) для обеспечения корректной работы сайта, аналитики и персонализации предложений. 

10.2. Cookie — это небольшие файлы, которые передаются веб-сервером на устройство
пользователя и хранятся браузером. Они не идентифицируют пользователя напрямую, однако могут относиться к персональным данным в совокупности с другой информацией. 

10.3. На Сайте используются следующие категории Cookie: 

10.4. Оператором используются следующие трекинг-инструменты: 

• Яндекс.Метрика (yandex.ru) — анализ поведения пользователей; 
• Google Analytics (google.com / США) — аналитика и маркетинг; 
• Mailchimp (США) — анализ взаимодействия с рассылками. 

10.5. Пользователь может ограничить или отключить использование Cookie в настройках браузера. Это может повлиять на корректность работы отдельных функций сайта. 

10.6. Продолжая использовать сайт, пользователь выражает согласие на использование Cookie в соответствии с настоящей Политикой. 


11. Поручение обработки персональных данных третьим лицам 
11.1. В отдельных случаях Оператор поручает обработку персональных данных третьим лицам на основании договора поручения, в том числе в электронном виде. 

11.2. Поручение обработки осуществляется только при условии соблюдения третьими лицами требований безопасности и конфиденциальности персональных данных. 

11.3. Перечень лиц, которым поручена обработка данных: 

11.4. Оператор не передает персональные данные третьим лицам без правовых оснований и согласия субъекта, за исключением: 

• требований государственных органов; 
• исполнения закона; 
• защиты законных интересов Оператора. 

12. Передача и хранение персональных данных 
12.1. Передача персональных данных третьим лицам осуществляется только при наличии правовых оснований, в том числе: 

• на основании согласия субъекта персональных данных; 
• при исполнении договора с субъектом; 
• для исполнения обязанностей Оператора, предусмотренных законодательством РФ; 
• при передаче данных государственным органам в случаях, предусмотренных законом. 

12.2. Хранение персональных данных осуществляется в формах, позволяющих определить субъекта персональных данных, не дольше, чем этого требуют цели обработки. 

12.3. Персональные данные хранятся: 

• на серверах хостинг-провайдера NIC.RU на территории РФ; 
• в CRM amoCRM; 
• в почтовых серверах Outlook; 
• в защищенных корпоративных архивах Оператора. 

12.4. Хранение осуществляется с применением административных, организационных и технических мер защиты. 

12.5. Доступ к персональным данным имеют только уполномоченные сотрудники Оператора, допущенные к обработке данных приказом и подписавшие соглашение о конфиденциальности. 


13. Локализация персональных данных (в соответствии с Федеральным законом № 242-ФЗ) 
13.1. Оператор обеспечивает запись, систематизацию, накопление и хранение персональных данных граждан Российской Федерации на территории Российской Федерации. 

13.2. Первичный сбор данных российских пользователей осуществляется через инфраструктуру, размещённую на серверах на территории РФ. 

13.3. Допускается передача данных в иные страны при наличии согласия субъекта и соблюдении требований к защите данных. 

14. Сроки хранения персональных данных 
14.1. Оператор хранит персональные данные в течение срока, необходимого для достижения целей обработки, либо в течение срока действия заключённых договоров, либо до отзыва согласия субъектом персональных данных. 

14.2. Сроки хранения персональных данных по категориям: 

14.3. По истечении срока хранения персональные данные уничтожаются, а при невозможности — блокируются до уничтожения. 


15. Меры по защите персональных данных 
15.1. Оператор принимает необходимые правовые, организационные и технические меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования и распространения. 

15.2. Защита данных обеспечивается в соответствии с требованиями: 

• Постановления Правительства РФ № 1119; 
• Приказа ФСТЭК № 21; 
• Приказа ФСБ № 378; 
• ГОСТ Р 57580; 
• 152-ФЗ «О персональных данных». 

15.3. Применяемые меры защиты: 

• Ограничение и разграничение доступа 
• Парольная политика и двухфакторная аутентификация 
• Регулярное резервное копирование 
• Локализация данных на территории РФ 
• Антивирусная защита 
• Шифрование каналов связи (HTTPS, TLS) 
• Журналы безопасности и аудит событий 
• Соглашения о конфиденциальности (NDA) с сотрудниками и подрядчиками 
• Хранение бумажных документов в условиях ограниченного доступа 

15.4. Оператор регулярно оценивает риски безопасности и обновляет меры защиты. 


16. Права субъектов персональных данных 
16.1. В соответствии с Федеральным законом № 152-ФЗ субъект персональных данных имеет право: 

16.2. Для реализации прав субъект может направить обращение Оператору на email: info@aspex.kz или по почтовому адресу: 625003, Тюмень, ул. Клары Цеткин, д. 63, офис 102. 

16.3. Ответ на обращение предоставляется в срок не более 30 дней, в соответствии с ч. 3 ст. 14 Федерального закона № 152-ФЗ. 


17. Порядок отзыва согласия на обработку персональных данных 
17.1. Субъект персональных данных вправе отозвать согласие на обработку персональных данных в любое время путем направления письменного уведомления на юридический адрес Оператора либо электронного уведомления на официальный e-mail Оператора. 

17.2. При отзыве согласия Оператор прекращает обработку персональных данных субъекта, за исключением случаев, когда обработка необходима: 

• для достижения целей, предусмотренных международным договором или законом; 
• для осуществления правосудия; 
• для исполнения обязанностей Оператора, предусмотренных законодательством; 
• при обезличивании данных. 

17.3. Отзыв согласия может повлечь невозможность продолжения предоставления Услуг субъекту персональных данных. 


18. Фиксация и расследование инцидентов безопасности 
18.1. Оператор осуществляет мониторинг событий информационной безопасности и ведет журнал инцидентов. 

18.2. В случае выявления утечки данных, несанкционированного доступа или иных нарушений безопасности ПДн Оператор: 

• проводит внутреннее расследование инцидента; 
• принимает меры по локализации и предотвращению угроз; 
• уведомляет уполномоченный орган (РКН) в случаях, предусмотренных законом; 
• уведомляет пострадавших субъектов ПДн при необходимости. 

18.3. Все инциденты фиксируются в специальном журнале и анализируются для предотвращения повторения. 


19. Ответственный за организацию обработки ПДн 
19.1. Для обеспечения соответствия требованиям законодательства Оператором назначен Ответственный за организацию обработки персональных данных. 

19.2. Ответственный назначается приказом генерального директора и выполняет следующие обязанности: 

• контроль соблюдения политики и требований безопасности; 
• организация процедур хранения и уничтожения ПДн; 
• взаимодействие с государственными органами при проверках; 
• консультирование сотрудников по вопросам обработки ПДн; 
• принятие мер при инцидентах информационной безопасности. 

19.3. Информация о назначении и контактные данные Ответственного предоставляются по запросу. 


20. Порядок внесения изменений в Политику 
20.1. Оператор вправе вносить изменения в настоящую Политику без предварительного согласия субъектов персональных данных. 

20.2. Актуальная версия Политики всегда доступна на сайте Оператора в сети Интернет по адресу: https://aspex.cloud/privacy. 

20.3. Изменения вступают в силу с момента их публикации на сайте. 

20.4. При существенных изменениях Оператор уведомляет пользователей дополнительным сообщением на сайте или по e-mail, если контактные данные были предоставлены субъектом ПДн. 


21. Контактная информация Оператора 
Оператор: ООО «АСПЭКС» 
Юридический адрес: 625003, Тюменская обл., г. Тюмень, ул. Клары Цеткин, д. 63, офис 102 
E-mail для обращений по вопросам персональных данных: info@aspex.kz 
Телефон: +7 963 057 53 53 
Сайт: https://aspex.cloud 


22. Форма обращения субъекта персональных данных 
Субъект ПДн может направить запрос Оператору по обработке своих персональных данных в свободной форме, при этом запрос должен содержать: 

• ФИО субъекта ПДн; 
• контактные данные (телефон или e-mail); 
• описание требования (получение сведений, уточнение, блокировка, удаление данных и т.п.); 
• реквизиты документа, удостоверяющего личность (для идентификации заявителя); 
• дату и подпись (для письменного обращения). 

Обращения направляются: 

• на бумажном носителе по юридическому адресу Оператора; 
• в электронном виде — на официальный e-mail Оператора (при наличии электронной подписи либо скан-копии заявления).