Политика конфиденциальности
1. Общие положения
Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных и меры по обеспечению их безопасности, принимаемые Оператором в отношении пользователей сервиса TMS (далее — «Сервис»).
Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», подзаконными актами Роскомнадзора и приказами уполномоченных органов Российской Федерации.
2. Оператор
Оператором обработки персональных данных является Индивидуальный предприниматель Бардин Георгий Дмитриевич (далее — «Оператор»):
- ИНН: 746003023587
- ОГРНИП: 326745600039073
- Адрес регистрации: Челябинская область, Чебаркульский район, село Непряхино
- Режим налогообложения: УСН
- E-mail для запросов о персональных данных: privacy@transpult.ru
Примечание. Email для приёма запросов субъектов персональных данных должен быть указан в реквизитах сервиса. До настройки корпоративного домена допустимо использование контактного email Оператора.
3. Категории субъектов и персональных данных
Сервис обрабатывает персональные данные следующих категорий субъектов:
- сотрудники организации-клиента (логисты, диспетчеры, бухгалтеры,
руководители);
- водители транспортных средств;
- контрагенты и их уполномоченные представители;
- конечные клиенты — отправители и получатели грузов.
В рамках предоставления Сервиса обрабатываются:
- фамилия, имя, отчество;
- контактный телефон, адрес электронной почты;
- ИНН, паспортные данные (для оформления путевых листов);
- сведения о водительском удостоверении, медицинских справках;
- данные транспортных средств (марка, госномер, VIN);
- геолокационные данные, время нахождения на маршруте;
- результаты медицинских и технических осмотров;
- данные документов (заявки, путевые листы, акты, накладные).
4. Цели обработки
- оказание услуг по предоставлению доступа к Сервису;
- оформление транспортных и сопроводительных документов в соответствии с
законодательством РФ;
- исполнение требований Минтранса (Приказы № 2200, № 467, № 296);
- исполнение требований Минздрава по предрейсовым и послерейсовым
медосмотрам;
- исполнение требований 152-ФЗ;
- биллинг, выставление счетов, формирование актов;
- техническая поддержка и информирование пользователей.
5. Правовые основания
- согласие субъекта персональных данных;
- исполнение договора (оферты), стороной которого является субъект;
- исполнение обязанностей, возложенных законодательством РФ.
6. Сроки хранения
Сроки определяются исходя из целей обработки и обязательных требований законодательства РФ.
6.1. Перевозочные и связанные документы
| Тип данных | Срок | Правовое основание |
|---|---|---|
| Электронные транспортные накладные (ЭТрН), все подписанные титулы | 5 лет с даты подписания финального титула | ст. 9 ФЗ-259, Перечень типовых управленческих документов |
| Заказ-наряды, экспедиторские документы | 5 лет | ст. 9 ФЗ-259 |
| Путевые листы | 5 лет | Приказ Минтранса от 28.09.2022 № 390 |
| Журналы предрейсовых и послерейсовых медосмотров | 3 года | п. 4.1 Приказа Минздрава от 15.12.2014 № 835н |
| Журналы технического контроля ТС перед выездом | 5 лет | Приказ Минтранса № 390 |
| Сопроводительные документы по перевозке маркируемой продукции | 5 лет | ПП РФ № 64 от 31.01.2024 |
6.2. Электронные подписи и МЧД
| Тип данных | Срок | Правовое основание |
|---|---|---|
| Записи реестра МЧД (XML МЧД, метаданные, история выдачи/отзыва) | срок действия МЧД + 5 лет после прекращения | ФЗ-63 ст. 11; ст. 29 ч. 1 ФЗ-402 |
| Журналы операций подписания КЭП и УНЭП (кто, когда, какой документ, идентификатор сертификата) | срок действия сертификата + 5 лет | ФЗ-63 ст. 11 ч. 6 + внутренний регламент оператора подписания |
| Метаданные сертификатов КЭП (subject, issuer, serial, validFrom, validTo) | срок действия сертификата + 5 лет | ФЗ-63, ст. 17 |
Метаданные подписаний документов в статусе pending_review (с зафиксированными МЧД-проблемами) | 5 лет с даты записи | внутренний риск-менеджмент + ст. 6 ч. 1 п. 7 ФЗ-152 |
Записи в dpa_acceptances (факт принятия DPA по интеграциям) | срок договора + 5 лет после прекращения | ст. 9 ч. 2 ФЗ-152, требование доказуемости согласия |
6.3. Учётные данные и согласия
| Тип данных | Срок | Правовое основание |
|---|---|---|
| Учётные данные пользователей (логин, hash пароля, e-mail, телефон) | срок действия договора + 3 года после расторжения | ст. 5 ч. 4 ФЗ-152 (соответствие целям) |
| Согласия на обработку ПДн (электронные и бумажные) | срок договора + 5 лет после прекращения | ст. 9 ч. 2 ФЗ-152, требование доказуемости |
| Согласия на использование ПЭП, КЭП, Госключа | срок действия трудовых отношений + 5 лет | ФЗ-63 ст. 9 + ст. 22 ТК РФ |
| Журнал учёта обращений субъектов ПДн | 5 лет с даты обращения | ст. 18.1 ч. 1 п. 3 ФЗ-152 |
| Append-only журнал событий (events) системы TMS | 5 лет минимум | внутренний регламент обработки ПДн |
6.4. Геоданные и операционные
| Тип данных | Срок | Правовое основание |
|---|---|---|
| Геолокация ТС и водителей (GPS-треки) | 12 месяцев | ст. 5 ч. 4 ФЗ-152 (соответствие операционным целям) |
| Данные тахографов (DDD-файлы, журналы РТО) | 12 месяцев | Приказ Минтранса от 16.10.2020 № 424 |
| Данные о температурном режиме (для рефрижераторов) | 12 месяцев | СанПиН + цели контроля цепочки холода |
6.5. Финансовые документы
| Тип данных | Срок | Правовое основание |
|---|---|---|
| Счета на оплату, счета-фактуры, УПД, корректировочные и исправленные СФ | 5 лет с даты составления | ст. 23 ч. 1 п. 8 НК + ст. 29 ч. 1 ФЗ-402 |
| Платёжные документы и фискальные чеки | 5 лет | ФЗ-54 ст. 4.1 ч. 1 п. 13 |
| Договоры, допсоглашения, акты | 5 лет с даты прекращения договорных отношений | ст. 29 ч. 1 ФЗ-402, ст. 23 НК |
invoice_history (журнал изменений счетов) | 5 лет | то же, что для счетов |
6.6. Особые случаи
- При отзыве согласия субъектом ПДн Оператор прекращает дальнейшую обработку и уничтожает данные в течение 30 календарных дней, за исключением случаев, когда обработка продолжает быть обязательной по закону (документы по транспортным операциям — 5 лет, бухгалтерские документы — 5 лет, налоговые — 4 года).
- При истечении срока хранения данные подлежат уничтожению с фиксацией факта уничтожения в журнале (составляется акт уничтожения).
- Архивирование допускается путём обезличивания (удаление прямых идентификаторов), если это совместимо с целями последующего использования (аналитика, статистика).
7. Передача персональных данных третьим лицам
Оператор привлекает следующих обработчиков для исполнения отдельных функций Сервиса. Подробные условия передачи по каждому — в отдельных DPA-документах (Data Processing Acceptances), с которыми администратор организации-клиента знакомится до подключения соответствующей интеграции.
7.1. Электронный документооборот (ЭДО)
| Обработчик | Категории передаваемых ПДн | Юрисдикция | DPA |
|---|---|---|---|
| АО «ПФ "СКБ Контур"» (Контур.Диадок) | Реквизиты юр-лиц и подписантов, ФИО водителей, данные ТС, маршруты, грузы, подписанные XML ЭТрН | РФ | dpa/diadoc.md |
Иные операторы ЭДО (СБИС, Калуга-Астрал, Такском) подключаются организацией-клиентом по запросу. При фактическом подключении применяются отдельные DPA, актуальные на дату подключения.
7.2. Электронная подпись
| Обработчик | Категории передаваемых ПДн | Юрисдикция | DPA |
|---|---|---|---|
| АО «ПФ "СКБ Контур"» (Контур.Подпись) | Идентификатор сертификата КЭП, ФИО подписанта, МЧД, содержимое документа для подписи | РФ | dpa/kontur-sign.md |
| Минцифры РФ (Госключ / Госуслуги) | СНИЛС, ФИО водителя, хэш документа для подписи | РФ | dpa/gosklyuch.md |
При подписи водителем через Госключ применяется также отдельное Согласие водителя на использование Госключа.
7.3. Телематика (GPS-мониторинг)
| Обработчик | Категории передаваемых ПДн | Юрисдикция | DPA |
|---|---|---|---|
| Wialon (через интегратора-партнёра) | Идентификаторы ТС и устройств, геолокация, параметры движения, ФИО водителя (опц.) | РФ либо Беларусь — зависит от договора клиента с интегратором (см. DPA) | dpa/wialon.md |
Иные системы телематики (Omnicomm, GLONASSsoft) подключаются по запросу клиента с применением отдельных DPA.
7.4. Платежи (для оплаты услуг Оператора)
| Обработчик | Категории передаваемых ПДн | Юрисдикция | DPA |
|---|---|---|---|
| ООО НКО «ЮMoney» (ЮKassa) | Реквизиты плательщика, сумма, метаданные транзакции (реквизиты банковских карт обрабатываются напрямую плательщиком в ЮKassa и не передаются Оператору) | РФ | dpa/yookassa.md |
7.5. Email-уведомления (transactional)
| Обработчик | Категории передаваемых ПДн | Юрисдикция | DPA |
|---|---|---|---|
| ООО «ВК» (Mail.ru для бизнеса, SMTP) | Email-адреса получателей, содержимое уведомлений сервиса (может содержать идентификаторы документов и контрагентов) | РФ | dpa/mailru-smtp.md |
7.6. Контролирующие органы и правоохранительные структуры
Оператор передаёт персональные данные в государственные органы (ФНС, Минтранс, ГИБДД, ФССП, Роскомнадзор, суды, правоохранительные органы) по основаниям, прямо предусмотренным законодательством Российской Федерации. Отдельное согласие субъекта в таких случаях не требуется (ст. 6 ч. 1 п. 4 ФЗ-152).
7.7. Трансграничная передача
По умолчанию Оператор не осуществляет трансграничную передачу персональных данных — серверы Оператора и всех обязательных обработчиков из п. 7.1–7.5 расположены на территории Российской Федерации.
Исключения, требующие отдельного внимания:
- Wialon (п. 7.3) — при подключении клиентом договора с белорусским
юр-лицом ОДО «Гуртам» (а не с российским резидентом-интегратором) возможна передача в Республику Беларусь. Беларусь относится к странам, обеспечивающим адекватный уровень защиты ПДн (Приказ Роскомнадзора от 15.03.2013 № 274), однако такая передача требует уведомления Роскомнадзора клиентом-Оператором в порядке ст. 12 ч. 6 ФЗ-152 (в редакции 266-ФЗ). Подробности — в DPA Wialon.
- AI-функциональность («Копилот») — если данная функциональность
активирована администратором организации-клиента, передача данных в языковую модель может осуществляться с использованием внероссийских обработчиков (например, Anthropic, США). В этом случае применяется отдельный DPA, требующий уведомления Роскомнадзора до начала передачи. В стандартной конфигурации Сервиса AI-функциональность отключена; включение производится только осознанно администратором клиента после акцепта соответствующего DPA.
Список обработчиков актуализируется по мере подключения новых интеграций. Каждое изменение публикуется в очередной редакции настоящей Политики.
8. Права субъекта персональных данных
- получать информацию об обработке своих персональных данных;
- требовать уточнения, блокирования, уничтожения некорректных данных;
- отзывать согласие на обработку персональных данных;
- требовать переноса данных в машиночитаемом формате;
- обжаловать действия Оператора в Роскомнадзоре или в суде.
9. Меры защиты
- хранение данных на серверах в Российской Федерации;
- шифрование канала передачи данных (TLS 1.2+);
- разграничение доступа на основе ролей (RBAC);
- регулярное резервное копирование;
- журнал событий доступа к персональным данным (аудит-лог);
- регулярная оценка эффективности принимаемых мер.
10. Контакт оператора
Запросы и обращения, связанные с обработкой персональных данных, направляются по адресу privacy@transpult.ru. Срок ответа — 30 календарных дней с даты получения обращения.
11. Изменения Политики
Оператор оставляет за собой право вносить изменения в настоящую Политику. Действующая редакция всегда доступна по адресу /legal/privacy. Существенные изменения публикуются за 14 дней до вступления в силу.