Политика обработки персональных данных

1. Общие положения

1.1. Оператором персональных данных является Индивидуальный предприниматель Барабанова Екатерина Сергеевна (ИНН 781135908960, ОГРНИП 326784700026560), зарегистрированная по адресу: 194214, Россия, г. Санкт-Петербург, ул. Рашетова, д. 6, лит. А, кв. 167 (далее — «Оператор»). Оператор включён в реестр операторов, осуществляющих обработку персональных данных, под регистрационным номером 78-26-209291 на основании Приказа Роскомнадзора № 88 от 19.03.2026. Дата начала обработки персональных данных — 01.04.2026.

1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) в действующей редакции (с учётом изменений Федерального закона от 14.07.2022 № 266-ФЗ, вступивших в силу 01.09.2022), Постановлением Правительства РФ от 01.11.2012 № 1119, приказами ФСТЭК России и иными нормативными правовыми актами РФ в области персональных данных.

1.3. Политика действует в отношении всех персональных данных, которые Оператор может получить от Пользователя в процессе использования Сервиса.

1.4. Регистрируясь в Сервисе и/или используя Сервис, Пользователь подтверждает, что ознакомлен с настоящей Политикой. В случае несогласия с условиями Политики Пользователь должен воздержаться от использования Сервиса.

2. Основные понятия

2.1. В настоящей Политике используются термины в значениях, определённых статьёй 3 152-ФЗ. «Пользователь» — физическое или юридическое лицо, использующее Сервис в соответствии с Публичной офертой Оператора. К Пользователям относятся как Клиенты Оператора (зарегистрированные пользователи Сервиса), так и Контрагенты Клиентов (третьи лица, чьи персональные данные Клиенты вводят при формировании юридических документов и/или при подписании документов через Сервис).

3. Правовые основания обработки персональных данных

3.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

а) Исполнение договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 152-ФЗ) — Пользовательского соглашения (Публичной оферты) Сервиса между Оператором и Клиентом, а также гражданско-правовых договоров между Клиентом и его Контрагентом, формируемых и подписываемых средствами Сервиса;

б) Согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ), предоставляемое Пользователем при регистрации в Сервисе и при использовании отдельных функций. Иные правовые основания: Федеральный закон от 27.07.2006 № 152-ФЗ, Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», Гражданский кодекс РФ (статьи 421, 434, 438).

4. Категории обрабатываемых персональных данных

4.1. Фамилия, имя, отчество.

4.2. Адрес электронной почты (e-mail) и номер телефона.

4.3. Иные персональные данные — данные, указываемые сторонами в подписываемых документах (реквизиты сторон договоров): паспортные данные, адреса регистрации и проживания, ИНН, ОГРН/ОГРНИП, реквизиты счетов и иные сведения, которые Пользователь самостоятельно вводит при создании юридических документов. Эти данные могут относиться как к Клиенту, так и к его Контрагенту.

4.4. Технические данные (относятся к иным персональным данным) — IP-адрес, тип и версия браузера (user-agent), идентификаторы сессии, журналы доступа.

4.5. Платёжные данные (номера банковских карт и реквизиты платёжных средств) Оператором не обрабатываются и не хранятся: обработка осуществляется исключительно платёжным шлюзом АО «Тинькофф Банк», сертифицированным по стандарту PCI DSS.

4.6. Оператор не обрабатывает специальные категории персональных данных (раса, национальность, политические, религиозные или философские убеждения, состояние здоровья, интимная жизнь) и биометрические персональные данные. Перечисленные в пунктах 4.1–4.4 категории соответствуют уведомлению, направленному Оператором в реестр операторов Роскомнадзора (рег. № 78-26-209291).

5. Цели обработки персональных данных

5.1. Цель обработки персональных данных: подготовка, заключение и исполнение гражданско-правовых договоров (в том числе Пользовательского соглашения Сервиса между Оператором и Клиентом, а также договоров между Клиентом и его Контрагентом, оформляемых и подписываемых средствами Сервиса). Указанная формулировка соответствует уведомлению, направленному Оператором в реестр операторов Роскомнадзора.

5.2. В рамках указанной цели Оператор осуществляет: создание и ведение учётной записи Клиента, идентификацию Клиента и Контрагента при использовании функционала Сервиса; предоставление функционала по подготовке проектов юридических документов, в том числе с использованием искусственного интеллекта; предоставление функционала простой электронной подписи и формирование протоколов подписания (в соответствии с Федеральным законом № 63-ФЗ «Об электронной подписи»).

5.3. В рамках указанной цели Оператор также осуществляет: хранение сформированных и подписанных документов в личном кабинете Клиента; организацию исполнения обязательств Оператора перед Клиентом по Пользовательскому соглашению (включая обработку платежей за подписку и услуги Сервиса с привлечением платёжного шлюза).

5.4. В рамках указанной цели Оператор также осуществляет: связь с Клиентом в рамках исполнения договора (служебные уведомления); организацию работы с обращениями субъектов персональных данных и предоставление технической поддержки.

5.5. Категории субъектов персональных данных, в отношении которых осуществляется обработка: Клиенты (физические лица, включая индивидуальных предпринимателей и самозанятых, зарегистрированные в Сервисе) и Контрагенты Клиентов (третьи лица, чьи персональные данные Клиенты вводят при формировании юридических документов и/или которые подписывают документы через Сервис).

6. Способы и сроки обработки персональных данных

6.1. Способ обработки: автоматизированный, с передачей по сети Интернет, без передачи по внутренней сети юридического лица. Обработка осуществляется с использованием средств вычислительной техники в информационных системах персональных данных Оператора, размещённых на инфраструктуре российского хостинг-провайдера ООО «Таймвеб».

6.2. Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение. Указанный перечень соответствует уведомлению, направленному Оператором в реестр операторов Роскомнадзора. Блокирование и обезличивание персональных данных не входят в состав действий, осуществляемых Оператором в рамках достижения целей обработки, и осуществляются Оператором исключительно во исполнение обязанностей, прямо предусмотренных 152-ФЗ (например, при поступлении соответствующего обращения субъекта персональных данных или предписания Роскомнадзора).

6.3. Сроки хранения: данные учётной записи Клиента — до момента удаления учётной записи Клиентом или отзыва согласия, плюс 3 (три) года после удаления учётной записи в целях исполнения налоговых обязательств Оператора в рамках режима НПД. Данные документов и Контрагентов — до момента удаления Клиентом или удаления учётной записи Клиента. Технические журналы (логи) — 12 (двенадцать) месяцев. Срок прекращения обработки в целом: прекращение деятельности Оператора (индивидуального предпринимателя) или отзыв согласия субъектом персональных данных.

6.4. По истечении срока хранения, при отзыве согласия или при достижении целей обработки персональные данные подлежат уничтожению в течение 30 (тридцати) календарных дней. Клиент может самостоятельно удалить свои документы из Сервиса в любой момент через личный кабинет.

7. Передача персональных данных третьим лицам

7.1. Оператор вправе передавать персональные данные третьим лицам исключительно в случаях: субъект персональных данных выразил согласие на такие действия; передача необходима для исполнения договора, стороной (выгодоприобретателем, поручителем) которого является субъект персональных данных; передача предусмотрена законодательством Российской Федерации.

7.2. АО «Тинькофф Банк» (Т-Банк) — привлечён по поручению Оператора (по ч. 3 ст. 6 152-ФЗ) для обработки платежей за подписки и услуги Сервиса. Платёжные данные обрабатываются на стороне Т-Банка, сертифицированного по стандарту PCI DSS. Оператор не получает и не хранит номера платёжных карт.

7.3. ООО «Таймвеб» (Timeweb Cloud) — привлечён по поручению Оператора для предоставления хостинга инфраструктуры Сервиса и доставки транзакционных e-mail-уведомлений. Серверы расположены на территории Российской Федерации. Провайдер не имеет доступа к данным на уровне приложения.

7.4. Трансграничная передача персональных данных Оператором не осуществляется. Сведения о местонахождении баз данных, содержащих персональные данные граждан Российской Федерации: Российская Федерация (в соответствии с ч. 5 ст. 18 152-ФЗ).

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право: получить информацию об обработке своих персональных данных в порядке, предусмотренном статьёй 14 152-ФЗ; требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки; отозвать согласие на обработку персональных данных.

8.2. Для реализации своих прав субъект персональных данных может направить запрос на электронную почту Оператора: support@iipodpis.ru. Запрос должен содержать: фамилию, имя, отчество субъекта; адрес электронной почты, использованный при регистрации в Сервисе; суть обращения.

8.3. Оператор обязуется рассмотреть запрос и предоставить ответ в течение 10 (десяти) рабочих дней с момента получения запроса, но не позднее 30 (тридцати) календарных дней.

8.4. Отзыв согласия на обработку персональных данных может повлечь ограничение или прекращение доступа к функциональности Сервиса, поскольку обработка персональных данных является необходимым условием исполнения Пользовательского соглашения.

8.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), либо в судебном порядке.

9. Файлы cookie

9.1. Сервис использует исключительно технически необходимые файлы cookie. Подробное описание используемых файлов cookie приведено в отдельном документе — «Политика использования файлов cookie», размещённом по адресу {{websiteUrl}}/cookie-policy.

9.2. Сервис не использует рекламные, аналитические или маркетинговые cookie сторонних сервисов.

9.3. Пользователь может отключить использование cookie в настройках браузера, однако это может привести к ограничению функциональности Сервиса.

10. Меры по защите персональных данных

10.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. Уровень защищённости персональных данных при их обработке в информационных системах персональных данных Оператора определён как УЗ-4 (в соответствии с ПП РФ № 1119 от 01.11.2012). Перечень применяемых мер защиты соответствует требованиям Приказа ФСТЭК России от 18.02.2013 № 21 для уровня защищённости УЗ-4.

10.2. Применяемые шифровальные средства (соответствует уведомлению в реестре РКН): TLS 1.2/1.3 — для защиты данных при передаче по сети Интернет; bcrypt — для хранения паролей Пользователей в виде криптографических хешей; полнодисковое шифрование (LUKS / эквивалент) — на рабочих устройствах с доступом к информационным системам Оператора; шифрование резервных копий баз данных в инфраструктуре хостинг-провайдера. Применяемые организационные меры: утверждены и действуют локальные акты по обработке персональных данных, ограничен перечень допущенных лиц, утверждены меры реагирования на инциденты, проводится регулярный внутренний контроль.

10.3. Сбор и хранение персональных данных граждан Российской Федерации осуществляется на серверах, расположенных на территории Российской Федерации (ЦОД ООО «Таймвеб», Timeweb Cloud).

11. Реагирование на инциденты безопасности персональных данных

11.1. В случае выявления инцидента, связанного с нарушением безопасности персональных данных, Оператор уведомляет Роскомнадзор в течение 24 (двадцати четырёх) часов с момента выявления инцидента — первичное уведомление, и в течение 72 (семидесяти двух) часов с момента выявления — итоговое уведомление с результатами расследования.

11.2. Субъекты персональных данных, чьи права могут быть затронуты инцидентом, уведомляются в течение 72 (семидесяти двух) часов с момента выявления инцидента — по электронной почте, указанной при регистрации.

11.3. Оператор принимает все необходимые меры для устранения последствий инцидента и предотвращения аналогичных инцидентов в будущем.

12. Ответственное лицо

12.1. Ответственным за организацию обработки персональных данных является Оператор — индивидуальный предприниматель Барабанова Екатерина Сергеевна. По всем вопросам, связанным с обработкой персональных данных, в том числе по вопросам реализации прав субъектов персональных данных, можно обращаться по электронной почте: support@iipodpis.ru или по телефону: +7 (980) 545-30-24.

13. Заключительные положения

13.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная версия Политики размещается на странице https://iipodpis.ru/privacy.

13.2. При внесении существенных изменений Оператор уведомляет Пользователей посредством размещения соответствующей информации в Сервисе.

13.3. Настоящая Политика вступает в силу с момента её опубликования на сайте Сервиса и действует бессрочно до замены новой версией.

14. История изменений

Версия 2.0 от 15.03.2026 — приведение к требованиям 152-ФЗ: добавлены разделы о правовых основаниях, категориях ПДн, правах субъектов, третьих лицах, инцидентах, ответственном лице.

Версия 3.0 от 30.04.2026 — синхронизация с уведомлением, направленным в реестр операторов Роскомнадзора (рег. № 78-26-209291): унификация цели обработки в формулировке «подготовка, заключение и исполнение гражданско-правового договора»; синхронизация перечня действий с реестром (исключены «обезличивание» и «блокирование» как действия, не относящиеся к целям обработки); явное указание категорий субъектов («Клиенты» и «Контрагенты Клиентов»); уточнение способа обработки (автоматизированная, с передачей по сети Интернет, без передачи по внутренней сети ЮЛ); указание регистрационного номера в реестре РКН и даты начала обработки; перенос описания cookie в отдельный документ «Политика использования файлов cookie».