Политика в отношении обработки персональных данных

Информационная система «ПЭП.Подпись»

Оператор: ООО «СОЛИДПРО» · https://pep.soleadpro.ru

Редакция от 03.06.2026 (направлено уведомление в РКН)

Настоящая Политика определяет порядок обработки персональных данных, осуществляемой ООО «СОЛИДПРО» (далее — «Оператор») в информационной системе «ПЭП.Подпись» (далее — «Система», https://pep.soleadpro.ru), и разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «ФЗ-152») и Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее — «ФЗ-63»).

1. Общие положения

1.1. Настоящая Политика разработана Оператором в соответствии с ФЗ-152 в действующей редакции, ФЗ-63 и принятыми в соответствии с ними нормативными правовыми актами Российской Федерации. Термины и определения используются в значениях, установленных ФЗ-152 и ФЗ-63.

1.2. Политика определяет порядок обработки персональных данных, осуществляемой Оператором в Системе, размещённой по адресу https://pep.soleadpro.ru. Система обеспечивает формирование простых электронных подписей в соответствии со статьёй 9 ФЗ-63, ведение журнала аудита и хранение подписанных электронных документов.

1.3. Реквизиты Оператора: ООО «СОЛИДПРО», ОГРН 1257700360092, ИНН 9701316560, юридический адрес — 105082, РФ, г.Москва, Переведеновский пер., Д. 13, СТР. 18, пом. 28/5; адрес электронной почты для обращений по вопросам обработки персональных данных — pep@soleadpro.ru.

1.4. Политика распространяется на обработку персональных данных следующих категорий субъектов: Пользователи Системы; Уполномоченные подписанты; представители Контрагентов Пользователей — физические лица; посетители сайта Оператора. Действие Политики распространяется на обработку, осуществляемую как с использованием средств автоматизации, так и без таковых.

1.5. Действующая редакция Политики публикуется в свободном доступе по адресу https://pep.soleadpro.ru/legal/privacy. Оператор внесён в Реестр операторов, осуществляющих обработку персональных данных, ведущийся Роскомнадзором.

2. Принципы обработки

Обработка персональных данных Оператором осуществляется на основе принципов, установленных статьёй 5 ФЗ-152: законности; ограничения целями обработки; минимизации состава данных; точности и актуальности; ограничения сроков хранения целью обработки; уничтожения или обезличивания данных по достижении целей обработки или утрате необходимости в их достижении (с особенностями, установленными для журнала аудита и подписанных электронных документов — см. раздел 8).

Оператор не обрабатывает специальные категории персональных данных, биометрические персональные данные и персональные данные, разрешённые субъектом для распространения. Простая электронная подпись, формируемая Системой, не является биометрическими персональными данными.

3. Категории субъектов и цели обработки

Оператор обрабатывает персональные данные в соответствии с целями, заявленными при подаче уведомления в Роскомнадзор.

3.1. Пользователи Системы. Категория субъектов соответствует «Пользователям сервиса (сотрудникам Клиентов Оператора)» в Реестре операторов. Пользователь — физическое лицо (работник или представитель Клиента Оператора), которому предоставлена учётная запись для доступа к Системе.

Состав обрабатываемых ПДн: фамилия, имя, отчество; должность; адрес электронной почты (используется как логин); номер телефона (при указании); хэш пароля; токены доступа; параметры двухфакторной аутентификации; идентификатор пользователя; IP-адрес; сведения об устройстве и браузере (user agent); часовой пояс; идентификатор сессии; журнал действий Пользователя в Системе.

Цели обработки: предоставление функционала Системы; идентификация и аутентификация Пользователя; формирование простой электронной подписи от имени Пользователя в соответствии со статьёй 9 ФЗ-63; обеспечение безопасности Системы и расследование инцидентов; направление сервисных уведомлений по электронной почте; техническая поддержка.

Правовые основания: исполнение договора, стороной которого является Клиент Оператора и выгодоприобретателем по которому является Пользователь (пункт 5 части 1 статьи 6 ФЗ-152); исполнение обязанностей, возложенных на Оператора ФЗ-63 (пункт 2 части 1 статьи 6 ФЗ-152); поручение обработки от Клиента Оператора (часть 3 статьи 6 ФЗ-152) — в части передачи Клиенту сведений о действиях Пользователя в Системе.

Срок хранения: в течение срока действия учётной записи Пользователя в Системе и далее в течение 5 (пяти) лет после её удаления — для обеспечения возможности проверки ранее совершённых Пользователем электронных подписей в соответствии с требованиями ФЗ-63.

3.2. Уполномоченные подписанты. Категория субъектов соответствует «Конечным клиентам Клиентов Оператора» в Реестре операторов. Уполномоченный подписант — физическое лицо, указанное в Соглашении об использовании простой электронной подписи и наделённое полномочиями на подписание электронных документов от имени организации.

Состав обрабатываемых ПДн: фамилия, имя, отчество; должность; основание полномочий (Устав, доверенность, иной документ); адрес электронной почты; идентификатор Соглашения; IP-адрес подписания; время подписания; хэш-сумма подписанного файла; идентификатор созданной электронной подписи; реквизиты Организации, от имени которой действует подписант.

Цели обработки: формирование простой электронной подписи Уполномоченного подписанта; ведение журнала аудита; обеспечение целостности и доказательственной силы подписанных электронных документов; передача сведений о факте и времени подписания контрагенту Организации в рамках исполнения Соглашения; хранение подписанных электронных документов в течение установленных законодательством сроков.

Правовые основания: поручение Клиента Оператора, оформленное договором в соответствии с частью 3 статьи 6 ФЗ-152; исполнение обязанностей, возложенных на Оператора ФЗ-63 (пункт 2 части 1 статьи 6 ФЗ-152). Получение согласий Уполномоченных подписантов на обработку их персональных данных обеспечивается Клиентом Оператора (Организацией, наделившей лицо полномочиями) как оператором персональных данных Уполномоченного подписанта.

Срок хранения: 5 (пять) лет с момента создания записи журнала аудита в соответствии с требованиями к доказательственной силе электронных подписей; записи журнала аудита не подлежат изменению или удалению ранее указанного срока.

3.3. Представители Контрагентов Пользователей (физические лица). Категория субъектов: физические лица — представители организаций, указанных Пользователями при создании приглашений в Системе. В отношении самих организаций-контрагентов обрабатываются реквизиты юридических лиц (наименование, ИНН, ОГРН, КПП, юридический адрес), которые не относятся к персональным данным.

Состав обрабатываемых ПДн представителей: фамилия, имя, отчество; должность; контактный адрес электронной почты.

Цели и правовые основания обработки совпадают с указанными в пункте 3.2 Политики. Срок хранения: в порядке, установленном пунктом 3.2 Политики.

3.4. Посетители сайта Оператора. Состав обрабатываемых ПДн: IP-адрес; информация о браузере и операционной системе (user agent); идентификаторы сессий и файлы cookie (см. раздел 7 Политики). При добровольном предоставлении посетителем своих контактных данных через формы обратной связи на сайте дополнительно обрабатываются: фамилия, имя, отчество; адрес электронной почты; номер контактного телефона; наименование организации, должность.

Цели обработки: обеспечение работы сайта; защита от автоматизированных атак; обеспечение информационной безопасности Системы; рассмотрение обращений посетителей и направление ответов.

Правовые основания: законные интересы Оператора в обеспечении безопасности и работоспособности сайта (пункт 7 части 1 статьи 6 ФЗ-152); согласие субъекта персональных данных при добровольной отправке обращения через формы сайта (пункт 1 части 1 статьи 6 ФЗ-152).

Срок хранения технических данных — 12 (двенадцать) месяцев с момента сбора; контактных данных, предоставленных через формы, — до отзыва согласия субъекта, но не более 3 (трёх) лет с даты последнего взаимодействия.

3.5. Перечень действий и способы обработки. Оператор совершает следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ) лицам, осуществляющим обработку по поручению, обезличивание, блокирование, удаление, уничтожение. В отношении записей журнала аудита (пункт 3.2 Политики) уточнение, изменение, удаление и уничтожение не осуществляются в течение срока обязательного хранения. Обработка осуществляется автоматизированным способом, в том числе с передачей по сети Интернет. Оператор не принимает в отношении субъектов решений, порождающих юридические последствия, на основании исключительно автоматизированной обработки персональных данных.

4. Согласие на обработку и его отзыв

4.1. В случаях, когда правовым основанием обработки является согласие субъекта, такое согласие предоставляется свободно, своей волей и в своём интересе в форме, позволяющей подтвердить факт его получения. Согласие на обработку персональных данных оформляется отдельно от иных согласий, договоров и соглашений субъекта с Оператором. На сайте и в Системе согласие выражается отдельным действием — проставлением субъектом отметки в специально предусмотренном поле формы. Поле не предзаполнено. Согласие на обработку персональных данных и согласие с условиями Договора-оферты или Соглашения об использовании ПЭП оформляются раздельными действиями. Содержание согласия соответствует требованиям части 4 статьи 9 ФЗ-152.

4.2. Субъект персональных данных вправе в любой момент отозвать согласие, направив уведомление по адресу pep@soleadpro.ru или почтовым отправлением по юридическому адресу Оператора. С момента получения отзыва согласия Оператор прекращает обработку, осуществляемую исключительно на основании отозванного согласия, и обеспечивает уничтожение или обезличивание соответствующих персональных данных в срок, не превышающий 30 дней, если иной срок не установлен законодательством или договором.

Ограничения отзыва согласия в части ранее совершённых электронных подписей. В отношении персональных данных, входящих в состав записей журнала аудита и сведений о ранее совершённых простых электронных подписях, Оператор продолжает обработку после отзыва согласия субъекта на основании пункта 2 части 1 статьи 6 ФЗ-152 (исполнение обязанностей, возложенных на Оператора ФЗ-63) и пункта 7 части 1 статьи 6 ФЗ-152 (защита законных интересов Оператора и третьих лиц в обеспечении доказательственной силы ранее совершённых подписей) — в течение сроков, указанных в пункте 3.2 Политики. Запись об отзыве согласия фиксируется в журнале обращений субъектов.

5. Передача данных третьим лицам и поручение обработки

5.1. Оператор обеспечивает конфиденциальность персональных данных и не раскрывает их третьим лицам, за исключением следующих случаев: с согласия субъекта; в рамках поручения обработки лицам, привлекаемым Оператором (пункт 5.2); по требованию уполномоченных государственных органов в случаях, предусмотренных законодательством Российской Федерации; в иных случаях, предусмотренных федеральными законами.

5.2. Оператор привлекает для обработки персональных данных по поручению, на территории Российской Федерации, следующие категории лиц: поставщики инфраструктуры (хостинг, объектное хранилище S3, дата-центр); поставщики услуг резервного копирования и хранения резервных копий; поставщики услуг доставки электронной почты (SMTP-провайдеры); поставщики бухгалтерских, аудиторских и юридических услуг; поставщики платёжных услуг и банки-эквайеры; поставщики услуг мониторинга и обеспечения информационной безопасности. Договоры с указанными лицами включают обязательные условия в соответствии с частью 3 статьи 6 ФЗ-152, в том числе перечень действий, цели обработки, обязанность соблюдения конфиденциальности и обеспечения безопасности обрабатываемых персональных данных.

5.3. В рамках исполнения Соглашений об использовании простой электронной подписи Оператор предоставляет контрагентам Пользователей следующие сведения об Уполномоченных подписантах: фамилия, имя, отчество; должность; реквизиты Организации, от имени которой действует подписант; основание полномочий; факт и время подписания; идентификатор подписи и хэш-сумма подписанного файла; IP-адрес подписания. Указанная передача является неотъемлемой частью исполнения Соглашений и обеспечения доказательственной силы простых электронных подписей.

5.4. Оператор не передаёт персональные данные субъектов в целях, не предусмотренных настоящей Политикой, в том числе в целях продажи или коммерческого профилирования третьими лицами.

6. Трансграничная передача

Оператор не осуществляет трансграничную передачу персональных данных. Отсутствие такой передачи зафиксировано в уведомлении Оператора в Роскомнадзор. В случае возникновения необходимости в трансграничной передаче Оператор до её начала направит в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу в порядке статьи 12 ФЗ-152, при необходимости получит от субъектов отдельное согласие в письменной форме и внесёт соответствующие изменения в настоящую Политику.

7. Файлы cookie

На сайте Оператора используются исключительно технически необходимые файлы cookie, обеспечивающие: работу сессий и аутентификацию Пользователей; хранение пользовательских настроек интерфейса; защиту от CSRF-атак и иных автоматизированных атак. Аналитические, статистические и рекламные файлы cookie на сайте не используются. Сервисы веб-аналитики и таргетирования, в том числе размещённые на территории иностранных государств, не применяются.

8. Меры по обеспечению безопасности

8.1. Информационные системы персональных данных Оператора отнесены к уровню защищённости УЗ-3 в соответствии с Постановлением Правительства Российской Федерации № 1119 от 01.11.2012; состав мер защиты определён в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013.

8.2. Реализуемые меры включают: назначение ответственного за организацию обработки персональных данных (статья 22.1 ФЗ-152); утверждение локальных актов по вопросам обработки персональных данных; ознакомление работников с законодательством о персональных данных и локальными актами Оператора под подпись; определение модели угроз и формирование на её основе системы защиты; разграничение прав доступа и ведение журналов событий; применение шифровальных (криптографических) средств для защиты каналов передачи данных, хранения паролей в виде хэш-сумм и шифрования резервных копий; обеспечение целостности журнала аудита посредством криптографических хэш-функций; резервное копирование с возможностью восстановления; антивирусную защиту; контроль обновлений и сканирование на уязвимости; ограничение доступа в помещения, где ведётся работа с персональными данными; внутренний контроль соответствия обработки требованиям законодательства.

9. Реагирование на инциденты

В соответствии с частью 3.1 статьи 21 ФЗ-152 Оператор обязуется в течение 24 часов с момента обнаружения инцидента (неправомерной или случайной передачи персональных данных, повлёкшей нарушение прав субъектов) направить уведомление в Роскомнадзор о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде и принятых мерах, а в течение 72 часов — уточнённые сведения о результатах внутреннего расследования. Внутренний порядок реагирования на инциденты установлен отдельным локальным актом Оператора. Сведения об инцидентах фиксируются в журнале инцидентов.

10. Права субъекта персональных данных

10.1. Субъект персональных данных имеет право: получать от Оператора информацию, касающуюся обработки его персональных данных (статья 14 ФЗ-152); требовать уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; отзывать согласие на обработку (с учётом ограничений, предусмотренных пунктом 4.2 Политики); возражать против обработки в целях прямого маркетинга; обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке; защищать свои права и законные интересы, в том числе требовать возмещения убытков и компенсации морального вреда.

10.2. Запрос субъекта направляется Оператору по электронной почте pep@soleadpro.ru или почтовым отправлением по юридическому адресу Оператора. Запрос должен содержать сведения, подтверждающие личность субъекта, сведения, позволяющие подтвердить факт обработки Оператором его персональных данных, существо запроса и подпись субъекта или его законного представителя. Срок ответа Оператора — не более 10 рабочих дней с даты получения запроса (часть 2 статьи 20 ФЗ-152), с возможностью продления не более чем на 5 рабочих дней с уведомлением субъекта о причинах продления.

10.3. Запросы Уполномоченных подписантов, касающиеся обработки их персональных данных в Системе, направляются Уполномоченными подписантами в адрес Организации, наделившей их полномочиями, как оператора их персональных данных. Оператор, получив такой запрос, оказывает указанной Организации техническое содействие в его исполнении.

11. Ответственное лицо за организацию обработки

В соответствии со статьёй 22.1 ФЗ-152 Оператор назначил лицо, ответственное за организацию обработки персональных данных. Для обращения к Ответственному лицу следует направить сообщение по адресу электронной почты pep@soleadpro.ru или почтовое отправление по юридическому адресу Оператора с пометкой «Ответственному за организацию обработки персональных данных». Сведения об Ответственном лице как физическом лице зафиксированы в уведомлении Оператора, размещённом в Реестре операторов на портале pd.rkn.gov.ru.

12. Заключительные положения

12.1. Настоящая Политика вступает в силу с даты её утверждения Оператором и действует бессрочно до утверждения новой редакции. Оператор вправе вносить изменения в Политику; актуальная редакция размещается по адресу https://pep.soleadpro.ru/legal/privacy. Дата вступления в силу новой редакции указывается в самой Политике.

12.2. По вопросам, не урегулированным настоящей Политикой, Оператор руководствуется положениями ФЗ-152, ФЗ-63 и иных нормативных правовых актов Российской Федерации в области защиты персональных данных и электронной подписи.