Политика обработки персональных данных

Редакция от 19 мая 2026 года. Действующая на момент сбора персональных данных.

1. Общие положения и термины

Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), иными нормативными правовыми актами Российской Федерации и определяет порядок обработки и защиты персональных данных физических лиц (далее — Субъекты), осуществляемой Оператором.

Политика распространяется на все процессы Оператора, в которых обрабатываются персональные данные, включая работу веб-сайтов nppgpo.ru, нппгпо.рф, lks.nppgpo.ru, лкс.нппгпо.рф и их доменов на иных доменных зонах.

В Политике используются следующие термины:

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
• Обработка — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• Сайт — совокупность веб-страниц, размещённых на доменах Оператора.
• Пользователь — физическое лицо, посещающее Сайт и/или направляющее свои данные через формы Сайта.
• Согласие — добровольное, конкретное, информированное и сознательное волеизъявление Субъекта на обработку его персональных данных.

2. Перечень обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных:

2.1. Данные клиентов и потенциальных клиентов

• Фамилия, имя, отчество
• Адрес электронной почты
• Номер контактного телефона
• Наименование организации (в случае представления юридического лица)
• Логин и пароль (пароль хранится только в виде криптографического хеша bcrypt)
• Содержание сообщений в чате с менеджером и приложенных к ним файлов
• Содержание запросов на коммерческое предложение

2.2. Данные сотрудников Оператора

• Фамилия, имя, отчество
• Адрес электронной почты, телефон
• Должность
• Сведения о ставке оплаты труда (служебная информация, доступная только администратору)
• Сведения, содержащиеся в заявлениях сотрудника (например, заявление на отпуск, на отгул и т.п.)

2.3. Специальные категории персональных данных

Сведения о состоянии здоровья сотрудников (в частности, факт временной нетрудоспособности по заявлениям сотрудников) могут обрабатываться Оператором при наличии отдельного письменного согласия Субъекта на обработку специальной категории персональных данных в соответствии с ч. 2 ст. 10 152-ФЗ.

Биометрические персональные данные Оператором не обрабатываются.

2.4. Технические данные

• IP-адрес посетителя (используется в журналах веб-сервера и в системе защиты от перебора паролей; не сохраняется в базе данных дольше срока, указанного в разделе 4).
• Дата и время обращения, URL-запрос, идентификатор браузера (User-Agent).
• Данные локального хранилища браузера (localStorage) — токен авторизации (JWT) и пользовательские настройки темы и языка интерфейса.

3. Цели и правовые основания обработки

Оператор обрабатывает персональные данные в следующих целях:

1. Заключение и исполнение договоров поставки/оказания услуг, обработка коммерческих запросов и заявок на коммерческое предложение (правовое основание — ст. 6 ч. 1 п. 5 152-ФЗ — исполнение договора).
2. Связь с Пользователем по вопросам, направленным через формы Сайта или чат (правовое основание — согласие Пользователя, ст. 6 ч. 1 п. 1 152-ФЗ).
3. Предоставление авторизованного доступа в личный кабинет клиента (правовое основание — согласие, договор).
4. Учёт кадровых процессов сотрудников Оператора (правовое основание — Трудовой кодекс РФ, ст. 6 ч. 1 п. 2 152-ФЗ).
5. Обеспечение информационной безопасности и защита прав Оператора (правовое основание — законные интересы Оператора, ст. 6 ч. 1 п. 7 152-ФЗ).
6. Информирование о продуктах и услугах (рассылки) — только при наличии отдельного согласия на получение рекламных сообщений (ст. 18 ФЗ «О рекламе»).

Оператор не использует персональные данные Пользователей для принятия решений, порождающих юридические последствия, исключительно на основании автоматизированной обработки (профилирования) без участия человека.

4. Условия и сроки обработки

Все персональные данные обрабатываются с использованием средств автоматизации, размещённых на территории Российской Федерации в собственной инфраструктуре Оператора (Московская область) в соответствии с требованиями ч. 5 ст. 18 152-ФЗ.

Сроки хранения данных:

• Данные клиентов хранятся в течение срока действия отношений с клиентом и далее в течение 5 лет в целях соблюдения сроков, установленных гражданским и налоговым законодательством.
• Данные посетителей, не являющихся клиентами (запросы на КП от неавторизованных пользователей), хранятся не более 3 лет с момента последнего взаимодействия.
• Журналы доступа к Сайту — не более 60 дней (журналы ошибок) и 30 дней (журналы доступа).
• Данные сотрудников — в течение срока трудовых отношений и далее в соответствии с требованиями архивного законодательства.
• Запись о согласии (Журнал согласий) хранится в течение срока действия согласия и 3 лет после его отзыва — для подтверждения правомерности обработки.

По истечении сроков хранения, а также по обоснованному запросу Субъекта, данные удаляются или обезличиваются.

5. Передача данных третьим лицам

Оператор передаёт персональные данные третьим лицам только в следующих случаях:

• Передача сообщений по электронной почте — провайдер услуг электронной почты (mail.hosting.reg.ru, ООО «Регистратор доменных имён РЕГ.РУ», территория РФ).
• Передача по требованию государственных органов в случаях, предусмотренных законодательством РФ.
• Передача обработчику — только на основании договора, в котором обработчик принимает на себя обязательство по обеспечению конфиденциальности и безопасности данных.

Оператор не передаёт персональные данные клиентов рекламным и аналитическим системам Google, Cloudflare и иным сервисам, находящимся под юрисдикцией иностранных государств.

Оператор не продаёт персональные данные Субъектов и не передаёт их в коммерческих целях.

6. Трансграничная передача

Оператор не осуществляет трансграничную передачу персональных данных клиентов. В случае возникновения необходимости такой передачи Оператор уведомит Роскомнадзор в порядке, установленном ст. 12 152-ФЗ, не позднее чем за 10 рабочих дней до начала передачи.

7. Файлы cookie и локальное хранилище

Сайт не использует файлы cookie для идентификации Пользователей или отслеживания их поведения. Сайт также не интегрирует сторонние счётчики посещаемости (Яндекс.Метрика, Google Analytics, Liveinternet и т.п.) и пиксели рекламных сетей.

Для технической работы Сайта используется локальное хранилище браузера (localStorage), которое сохраняет следующие данные исключительно на устройстве Пользователя:

• Токен авторизации (JWT) — после успешного входа в личный кабинет.
• Настройки оформления — выбранная тема (светлая / тёмная / системная) и язык интерфейса.
• Признак согласия на показ маркетинговых сообщений (если такое согласие было дано).

Данные localStorage не передаются на сервер автоматически с каждым запросом, не используются для отслеживания поведения Пользователя между сессиями и могут быть очищены Пользователем в любой момент через настройки браузера.

Если в будущем на Сайте будут внедрены счётчики посещаемости — соответствующий раздел будет добавлен в настоящую Политику, и Пользователю будет предоставлена возможность отказа от соответствующих cookies до начала их установки.

8. Технологии, которые не применяются на Сайте

В целях прозрачности Оператор отдельно заявляет, что на Сайте не используются следующие технологии обработки данных:

• Рекомендательные технологии в смысле ст. 10.2-2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Каталог продукции отображается в фиксированном порядке без алгоритмической персонализации на основе предполагаемых интересов Пользователя.
• Внешние сервисы авторизации (OAuth/SSO от VK, Google, Yandex, Mail.ru, Apple, государственных систем ЕСИА и других). Авторизация в личном кабинете осуществляется исключительно по паре «логин — пароль», хранимой во внутренней информационной системе Оператора.
• Системы веб-аналитики и счётчики посещаемости сторонних поставщиков (Яндекс.Метрика, Google Analytics, LiveInternet, Mail.ru Top@Mail.Ru, AdRiver и т.п.).
• Рекламные пиксели и теги ретаргетинга (Yandex Direct, VK Ads, MyTarget и аналогичные).
• Автоматизированное принятие решений с юридическими последствиями для Субъекта без участия человека (ст. 16 152-ФЗ).
• Обработка биометрических персональных данных (ст. 11 152-ФЗ).

В случае внедрения любой из перечисленных технологий настоящая Политика будет дополнена соответствующим разделом, а Пользователь будет уведомлён согласно разделу «Изменение Политики».

9. Меры защиты персональных данных

Оператор применяет следующие меры защиты:

• Передача данных по сети — только по защищённому протоколу HTTPS (TLS 1.3).
• Пароли пользователей хранятся в виде криптографического хеша алгоритмом bcrypt.
• Доступ к данным сотрудников ограничен ролевой моделью (Admin / Manager / Worker / Client / Other) и контролируется на уровне приложения.
• Журналы доступа маскируют адрес электронной почты, номер телефона и фамилию-имя Пользователя перед записью в файл лога.
• Регулярно обновляется программное обеспечение серверов, применяются обновления безопасности операционных систем и СУБД.
• Резервное копирование данных осуществляется только в пределах территории Российской Федерации.
• Утверждены внутренние документы: приказ о назначении ответственного за организацию обработки персональных данных, Положение об обработке персональных данных, инструкции для работников, имеющих доступ к персональным данным.
• Ведётся Журнал согласий (ConsentLog) с фиксацией факта, времени и текста согласия, редакции Политики, формы и IP-адреса (если применимо).

10. Права субъекта персональных данных

Субъект персональных данных имеет право:

• Получить сведения, касающиеся обработки его персональных данных.
• Требовать уточнения, блокирования, удаления его персональных данных, если они неполны, неактуальны или избыточны.
• Отозвать согласие на обработку персональных данных. Отзыв согласия влечёт прекращение обработки за исключением случаев, прямо предусмотренных законом.
• Получить копию своих персональных данных в структурированном электронном виде.
• Обжаловать действия (бездействие) Оператора в Роскомнадзор и в суд.

Запросы Субъектов рассматриваются Оператором в течение 10 рабочих дней с момента поступления (ч. 1 ст. 14 152-ФЗ в редакции, действующей с 01.09.2025). Запрос подаётся по электронной почте privacy@nppgpo.ru или почтовым отправлением по адресу Оператора, указанному в начале Политики. К запросу прилагается копия документа, удостоверяющего личность Субъекта (за исключением реквизитов, не относящихся к запросу), или иной способ подтверждения личности, согласованный с Оператором.

11. Реагирование на инциденты

В случае выявления факта неправомерной или случайной передачи персональных данных, в том числе утечки, Оператор уведомляет Роскомнадзор в порядке, установленном ч. 3.1 ст. 21 152-ФЗ:

• Первичное уведомление — в течение 24 часов с момента обнаружения инцидента.
• Результаты внутреннего расследования — в течение 72 часов с момента обнаружения.

Затронутые инцидентом Субъекты уведомляются при наличии оснований полагать, что инцидент может повлечь нарушение их прав.

12. Несовершеннолетние пользователи

Сайт ориентирован на представителей юридических лиц (закупщиков, проектировщиков, технических специалистов) и не предназначен для использования несовершеннолетними. Оператор не осуществляет осознанный сбор персональных данных лиц, не достигших возраста 18 лет.

В случае, если законному представителю несовершеннолетнего станет известно о предоставлении Сайту персональных данных несовершеннолетнего без его согласия, законный представитель вправе направить Оператору запрос об удалении таких данных по контактам, указанным в начале Политики; данные будут удалены в течение 10 рабочих дней.

13. Ответственное лицо за организацию обработки ПДн

В соответствии со ст. 22.1 152-ФЗ Оператор назначил ответственное лицо за организацию обработки персональных данных. Контакты ответственного лица совпадают с контактами Оператора (privacy@nppgpo.ru, +7 (919) 404-39-40). Обращения, направленные в адрес Оператора, перенаправляются ответственному лицу автоматически.

14. Ответственность Оператора

Оператор несёт ответственность за соблюдение требований законодательства Российской Федерации о персональных данных в отношении обрабатываемых им персональных данных, в том числе за:

• законность обработки и соблюдение целей, установленных настоящей Политикой;
• обеспечение конфиденциальности и безопасности обрабатываемых персональных данных, включая защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования и распространения;
• своевременное реагирование на запросы Субъектов и обращения уполномоченного органа по защите прав субъектов персональных данных;
• уведомление Роскомнадзора и затронутых Субъектов в случае инцидентов в порядке, установленном разделом «Реагирование на инциденты».

За нарушение требований законодательства о персональных данных Оператор несёт административную ответственность в соответствии со ст. 13.11 КоАП РФ, а также гражданско-правовую и иную ответственность в соответствии с законодательством Российской Федерации.

Оператор не несёт ответственности за:

• достоверность персональных данных, предоставленных Субъектом;
• последствия раскрытия Субъектом своих учётных данных третьим лицам;
• действия сторонних сервисов (платёжных, почтовых и т.п.), к политикам которых Субъект присоединился самостоятельно.

15. Обжалование действий Оператора

Если, по мнению Субъекта, Оператор нарушает требования законодательства о персональных данных, Субъект вправе обжаловать действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов персональных данных:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
• Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2.
• Электронная форма обращения: rkn.gov.ru/treatments/ask-question/

Субъект также вправе обратиться в суд для защиты своих прав, включая возмещение убытков и компенсацию морального вреда.

16. Изменение Политики

Оператор вправе изменять настоящую Политику. Актуальная редакция всегда доступна по адресу nppgpo.ru/privacy.html. Дата редакции указывается в начале документа. Существенные изменения (изменение целей, состава собираемых данных, сроков хранения, перечня третьих лиц) доводятся до зарегистрированных пользователей по электронной почте не позднее, чем за 14 дней до вступления в силу.

Настоящая Политика утверждена приказом Генерального директора ООО «НПП ГПО» Якимова Н.А. и вступила в силу с 19 мая 2026 года.