Политика обработки персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Annenkov & Partners
Дата вступления в силу: 24 июня 2025 года
Версия документа: 1.0

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Цели утверждения Политики
Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в консалтинговой компании Annenkov & Partners (далее — «Компания») в целях защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2 Основные термины и определения

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Оператор — Annenkov & Partners, который самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными
Субъект персональных данных — физическое лицо, к которому относятся персональные данные
Согласие субъекта персональных данных — добровольное, конкретное, информированное и сознательное действие субъекта персональных данных, которым он выражает свое согласие на обработку своих персональных данных

1.3 Контактная информация оператора
Наименование: ООО "Annenkov & Partners" (или ИП Анненков Павел Васильевич)
ИНН: 503220663041
ОГРН: 315503200015090
Юридический адрес: Новоспортивная, д. 6, кв./оф. 6, Московская область, р-н Одинцовский, г. Одинцово
Фактический адрес: Новоспортивная, д. 6, кв./оф. 6, Московская область, р-н Одинцовский, г. Одинцово
Сайт: https://annenkov.partners/
Ответственное лицо по вопросам обработки персональных данных: Анненков Павел Александрович
Email для обращений по вопросам персональных данных: pannenkov@gmail.com
Телефон: +79859910893
Номер в реестре операторов Роскомнадзора: 9677200
Дата подачи уведомления об обработке персональных данных: 24.06.2025

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Для клиентов консалтинговых услуг

Заключение и исполнение договоров на оказание консалтинговых услуг
Разработка стратегии бизнеса клиента
Проведение стратегических сессий и интервью с руководством
Анализ внутренней и внешней среды компании клиента
Подготовка отчетов и рекомендаций по развитию бизнеса
Сопровождение реализации стратегических решений
Взаиморасчеты по оказанным услугам
Поддержание долгосрочных деловых отношений

2.2 Для потенциальных клиентов

Обработка заявок на консалтинговые услуги
Проведение предварительных консультаций
Оценка потребностей в стратегическом планировании
Подготовка коммерческих предложений
Презентация экспертизы и возможностей компании
Информирование о новых услугах и решениях

2.3 Для сотрудников компании

Организация трудовых отношений
Ведение кадрового учета и делопроизводства
Расчет заработной платы и социальных выплат
Обеспечение корпоративной безопасности
Организация обучения и профессионального развития
Исполнение требований трудового законодательства

2.4 Для экспертов и внешних консультантов

Привлечение к проектам в качестве внешних экспертов
Заключение договоров на выполнение работ
Организация совместной работы над проектами
Оплата экспертных услуг
Формирование базы квалифицированных специалистов

2.5 Для посетителей сайта

Обработка обращений через формы на сайте
Предоставление информации о консалтинговых услугах
Техническое обеспечение работы сайта
Аналитика посещаемости и улучшение пользовательского опыта
Защита от спама и мошенничества

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется на следующих правовых основаниях:
3.1 Согласие субъекта персональных данных

Письменное или электронное согласие при обращении за консалтинговыми услугами
Согласие на получение информационных рассылок о услугах компании
Согласие на обработку конфиденциальной деловой информации

3.2 Исполнение договорных обязательств

Договоры на оказание консалтинговых услуг

3.3 Исполнение правовых обязанностей

Требования налогового законодательства
Требования трудового законодательства
Требования валютного законодательства (при работе с иностранными клиентами)
Требования законодательства о противодействии отмыванию доходов

3.4 Законные интересы оператора

Обеспечение безопасности деловых процессов
Защита коммерческой тайны и конфиденциальной информации
Развитие и совершенствование консалтинговых услуг
Техническое администрирование сайта

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Данные клиентов
Контактная информация:

Фамилия, имя, отчество
Должность и полномочия в организации
Контактные данные (телефон, email)
Адрес компании

Деловая информация:

Название и организационно-правовая форма компании
Сфера деятельности и специализация
Размер бизнеса и ключевые показатели
Организационная структура компании
Стратегические цели и задачи
Информация о конкурентах и рынках

Финансовая информация:

Реквизиты для расчетов
Информация о бюджете на консалтинг
Общие финансовые показатели (для разработки стратегии)

4.2 Данные потенциальных клиентов

Фамилия, имя, отчество
Должность и компания
Контактные данные
Информация о потребностях в консалтинге
Общая информация о бизнесе
Источник обращения

4.3 Данные посетителей сайта

IP-адрес и геолокация
Данные cookies и веб-маяков
Информация о браузере и устройстве
Страницы сайта и время просмотра
Данные из форм обратной связи
Источники перехода на сайт

4.4 Персональные данные, которые НЕ обрабатываются
Компания не собирает и не обрабатывает следующие категории персональных данных:

Данные о расовой и национальной принадлежности
Политические взгляды и религиозные убеждения
Подробная медицинская информация
Интимная жизнь
Биометрические данные
Данные о судимости (кроме случаев, предусмотренных ТК РФ)

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Принципы обработки персональных данных
Компания руководствуется следующими принципами при обработке персональных данных:

Законность — обработка осуществляется в соответствии с требованиями законодательства РФ
Справедливость — обработка не нарушает права и законные интересы субъектов
Конфиденциальность — особый режим защиты деловой информации клиентов
Соразмерность — объем данных соответствует целям консалтинговых услуг
Достоверность — обеспечивается точность и актуальность данных
Ограниченное хранение — данные хранятся в соответствии с целями обработки

5.2 Действия с персональными данными
Компания осуществляет следующие действия с персональными данными:

Сбор и регистрация при заключении договоров
Систематизация в клиентских базах данных
Хранение в защищенных информационных системах
Анализ для разработки стратегических решений
Использование для оказания консалтинговых услуг
Передача в рамках проектной работы (с согласия)
Архивирование после завершения проектов
Уничтожение по истечении сроков хранения

5.3 Способы обработки

Автоматизированная обработка — с использованием CRM-систем и специализированного ПО
Неавтоматизированная обработка — работа с документами и очные консультации

5.4 Условия передачи персональных данных третьим лицам
Персональные данные могут быть переданы третьим лицам в следующих случаях:
С согласия субъекта:

Внешним экспертам для участия в проектах
Партнерским консалтинговым компаниям при совместной работе
Клиентам компании в рамках проектного взаимодействия

Без согласия субъекта:

Государственным органам в случаях, предусмотренных законодательством
В целях защиты жизни, здоровья или иных жизненно важных интересов

Техническим партнерам (только российские операторы):

Провайдерам IT-услуг для технического обслуживания (данные хранятся на серверах в РФ)
Российским сервисам для ведения CRM и документооборота
Российским платежным системам для взаиморасчетов

Трансграничная передача данных: Передача персональных данных за пределы территории Российской Федерации осуществляется только при наличии решения Роскомнадзора о том, что государство, на территорию которого планируется передача, обеспечивает адекватную защиту прав субъектов персональных данных, либо при наличии письменного согласия субъекта персональных данных на трансграничную передачу.
5.5 Сроки хранения персональных данных

Действующие клиенты — в течение всего периода сотрудничества + 5 лет после завершения
Бывшие клиенты — 5 лет с момента окончания последнего проекта
Потенциальные клиенты — 3 года с момента последнего обращения
Сотрудники — в соответствии с требованиями трудового законодательства (до 75 лет)
Внешние эксперты — 5 лет с момента последнего сотрудничества
Посетители сайта — технические данные до 2 лет

6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъекты персональных данных имеют следующие права:
6.1 Право на информацию

Получение информации о факте и целях обработки персональных данных
Информация о правовых основаниях и способах обработки
Сведения о сроках обработки и категориях получателей данных

6.2 Право на доступ

Получение информации об обрабатываемых персональных данных
Ознакомление с источниками получения данных
Информация о способах обработки данных

6.3 Право на исправление

Требование исправления неточных или неполных данных
Обновление изменившейся информации
Дополнение недостающих сведений

6.4 Право на удаление

Требование удаления данных при отсутствии правовых оснований
Удаление при отзыве согласия
Удаление при окончании сроков хранения

6.5 Право на ограничение обработки

Приостановка обработки на время проверки точности данных
Ограничение обработки при незаконном получении данных

6.6 Право на отзыв согласия

Отзыв согласия на обработку в любое время
Прекращение получения маркетинговых рассылок

6.7 Порядок реализации прав
Для реализации своих прав субъект персональных данных может:

Направить письменное обращение на email: privacy@annenkov.partners
Обратиться к ответственному лицу во время консультаций
Использовать форму обратной связи на сайте компании

Срок рассмотрения обращений: не более 30 календарных дней с момента получения обращения.
7. МЕРЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Организационные меры

Назначение ответственного за обработку персональных данных
Разработка локальных актов по защите персональных данных
Обучение сотрудников требованиям законодательства о персональных данных
Заключение соглашений о конфиденциальности с сотрудниками и партнерами
Контроль доступа к персональным данным клиентов

7.2 Технические меры

Использование современных средств защиты информации
Применение криптографических средств при передаче данных
Резервное копирование на серверах, расположенных на территории РФ
Строгое ограничение доступа к персональным данным
Использование лицензионного антивирусного ПО и межсетевых экранов
Локализация данных: все персональные данные российских граждан обрабатываются и хранятся исключительно на серверах, расположенных на территории Российской Федерации

7.3 Физические меры

Ограничение физического доступа к рабочим местам
Защищенное хранение документов с персональными данными
Контроль доступа в офисные помещения

7.4 Особые меры для консалтинга

Дополнительная защита конфиденциальной деловой информации клиентов
Соглашения о неразглашении коммерческой тайны
Изолированное хранение данных разных клиентов
Защита от промышленного шпионажа

8. АКТУАЛИЗАЦИЯ, ИЗМЕНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Актуализация персональных данных

Регулярное обновление контактной информации клиентов и сотрудников
Уточнение деловой информации в ходе консалтинговых проектов
Периодическая сверка данных с первоисточниками

8.2 Изменение персональных данных

Исправление неточных данных в течение 7 рабочих дней
Обновление информации по запросу субъекта данных
Уведомление заинтересованных сторон об изменениях

8.3 Удаление и уничтожение персональных данных
Основания для удаления:

Окончание срока хранения
Отзыв согласия субъектом данных
Завершение консалтингового проекта (через установленное время)
Выявление неправомерности обработки

Порядок уничтожения:

Безвозвратное удаление с электронных носителей
Уничтожение бумажных документов путем измельчения или сжигания
Составление акта об уничтожении персональных данных
Уведомление субъекта об уничтожении (при необходимости)

9. ОБРАБОТКА COOKIES И ДАННЫХ ВЕБ-АНАЛИТИКИ
9.1 Использование cookies
Сайт компании использует файлы cookies для:

Обеспечения корректной работы сайта
Анализа поведения потенциальных клиентов
Персонализации контента о консалтинговых услугах
Улучшения пользовательского опыта

ВАЖНО: Согласно требованиям законодательства РФ с 30 мая 2025 года, cookies, содержащие уникальные идентификаторы пользователей, рассматриваются как персональные данные. Все такие данные:

Обрабатываются и хранятся исключительно на серверах, расположенных на территории Российской Федерации
Требуют предварительного согласия пользователя
Не передаются на территорию иностранных государств без одобрения Роскомнадзора
Подлежат удалению по требованию субъекта персональных данных

9.2 Типы используемых cookies

Необходимые cookies — обеспечивают базовую функциональность сайта
Аналитические cookies — помогают анализировать эффективность сайта
Функциональные cookies — обеспечивают дополнительные возможности сайта

9.3 Управление cookies
При первом посещении сайта пользователям предоставляется баннер с возможностью:

Принять все cookies
Отклонить необязательные cookies
Настроить категории cookies индивидуально
Ознакомиться с подробной информацией

Пользователи могут в любое время изменить настройки через:

Ссылку "Настройки cookies" в футере сайта
Настройки браузера
Обращение по email: pannenkov@gmail.com

Категории cookies, требующие согласия:

Аналитические cookies — содержат уникальные идентификаторы для анализа
Маркетинговые cookies — используются для персонализации предложений
Функциональные cookies — обеспечивают расширенные возможности

Обязательные cookies (не требуют согласия):

Технические cookies — необходимы для работы сайта
Cookies безопасности — защищают от атак
Cookies сессии — обеспечивают непрерывность сеанса

10. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Уровень защищенности информационных систем
В соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21 компания реализует:
УЗ-2 (2-й уровень защищенности) для персональных данных клиентов и конфиденциальной деловой информации:

Идентификация и аутентификация субъектов доступа и объектов доступа
Управление доступом субъектов доступа к объектам доступа
Ограничение программной среды
Защита машинных носителей информации
Регистрация событий безопасности
Антивирусная защита
Обнаружение вторжений
Контроль (анализ) защищенности информации
Обеспечение целостности информационной системы и информации
Обеспечение доступности информации
Защита среды виртуализации
Защита технических средств
Защита информационной системы, ее средств, систем связи и передачи данных

УЗ-1 (1-й уровень защищенности) для общих персональных данных сотрудников:

Идентификация и аутентификация субъектов доступа и объектов доступа
Управление доступом субъектов доступа к объектам доступа
Ограничение программной среды
Антивирусная защита
Обеспечение целостности информационной системы и информации
Защита технических средств

10.2 Применяемые средства защиты информации
Организационно-технические меры:

Средства идентификации и аутентификации пользователей
Система мониторинга информационной безопасности 24/7
Средства обеспечения целостности операционной системы и прикладного ПО
Система резервного копирования с ежедневным архивированием
Средства анализа защищенности (регулярное тестирование на проникновение)

10.3 Организационные меры защиты

Назначен ответственный за организацию обработки персональных данных
Разработаны локальные акты по защите информации
Проводится обучение сотрудников информационной безопасности
Заключены соглашения о неразглашении с сотрудниками
Осуществляется контроль соблюдения требований защиты данных

10.4 Технические меры защиты

Ролевая модель доступа к персональным данным
Журналирование действий с персональными данными
Контроль целостности информационных систем
Защита рабочих станций и серверов
Регулярное резервное копирование

10.5 Контроль за соблюдением требований
Внутренний контроль (ст. 18.1 152-ФЗ):

Ежемесячная проверка соответствия обработки ПД утвержденным процедурам
Ежеквартальная проверка эффективности мер защиты персональных данных
Полугодовая проверка соблюдения требований локальных актов
Ежегодная комплексная проверка соответствия требованиям 152-ФЗ

Внутренний аудит (ст. 18.1 152-ФЗ):

Ежегодный аудит соответствия политики обработки ПД фактической деятельности
Аудит эффективности организационных и технических мер защиты
Проверка соответствия обработки ПД целям, указанным в уведомлениях РКН
Аудит соблюдения сроков хранения и уничтожения персональных данных

Оценка вреда (ст. 18.1 152-ФЗ):

Проведение оценки возможного вреда субъектам ПД в случае нарушений
Анализ соотношения вреда и принимаемых мер защиты
Документирование результатов оценки в специальном реестре
Актуализация оценки при изменении процессов обработки ПД

Мониторинг актуальности угроз:

Ежемесячный мониторинг новых угроз информационной безопасности
Квартальная актуализация модели угроз для ИСПДн
Анализ инцидентов ИБ в отрасли и корректировка мер защиты
Регулярные учения по реагированию на инциденты ИБ

11. ИЗМЕНЕНИЯ В ПОЛИТИКЕ
11.1 Внесение изменений

Компания оставляет за собой право вносить изменения в настоящую Политику
О существенных изменениях клиенты и сотрудники уведомляются не менее чем за 30 дней
Уведомления направляются по электронной почте и размещаются на сайте

11.2 Контроль версий

Каждая версия Политики имеет номер и дату вступления в силу
Предыдущие версии хранятся в архиве и доступны по запросу

12. ОБЕСПЕЧЕНИЕ СОБЛЮДЕНИЯ НОВЫХ ТРЕБОВАНИЙ 2025 ГОДА
12.1 Локализация персональных данных
С 30 мая 2025 года все персональные данные российских граждан обрабатываются и хранятся исключительно на серверах, расположенных на территории Российской Федерации. Компания обеспечивает соблюдение данного требования при работе со всеми IT-партнерами.
12.2 Уведомление об утечках
Сроки уведомления (согласно ч. 6 ст. 18.1 152-ФЗ и новым требованиям 2025 года):

В Роскомнадзор: незамедлительно, но не позднее 24 часов с момента обнаружения инцидента
Субъектам персональных данных: не позднее 72 часов с момента обнаружения, если инцидент может повлечь нарушение их прав и свобод

Процедура уведомления:

Обнаружение инцидента (автоматически через системы мониторинга или сотрудниками)
Первичная оценка (в течение 2 часов): масштаб, категории данных, количество субъектов
Уведомление руководства (немедленно): информирование ответственного лица и руководства
Подача уведомления в РКН (до 24 часов): через личный кабинет на сайте РКН
Расследование инцидента (до 72 часов): определение причин, последствий, мер устранения
Уведомление субъектов ПД (до 72 часов): при высоком риске нарушения прав
Итоговый отчет в РКН (до 30 дней): детальный анализ и принятые меры

Содержание уведомления в РКН:

Дата и время обнаружения нарушения
Описание обстоятельств нарушения
Категории и примерное количество субъектов ПД
Категории и примерное количество записей о ПД
Возможные последствия нарушения
Принятые или планируемые меры по устранению нарушения и его последствий

Дополнительные меры:

Немедленная изоляция скомпрометированных систем
Сохранение доказательной базы для расследования
Привлечение внешних экспертов при необходимости
Взаимодействие с правоохранительными органами при признаках преступления

12.3 Реестр операторов персональных данных
Компания состоит в реестре операторов персональных данных Роскомнадзора и регулярно актуализирует информацию в соответствии с требованиями законодательства.
12.4 Ответственность за нарушения
Компания несет административную и уголовную ответственность за нарушения требований законодательства о персональных данных в соответствии с увеличенными размерами штрафов (действующими с 30 мая 2025 года):
Административные штрафы (с 30 мая 2025 года):

За нарушение обязанности уведомить об обработке: от 1 до 3 млн рублей
За утечку персональных данных: до 15 млн рублей
За повторные утечки: до 3% от годовой выручки, но не менее 20 млн рублей
За общие нарушения: от 150 000 до 300 000 рублей для организаций

12.5 Внутренний контроль и аудит
Система внутреннего контроля (ст. 18.1 п. 4 152-ФЗ):
Ежемесячный контроль:

Проверка журналов доступа к персональным данным клиентов
Контроль соблюдения процедур обработки ПД сотрудниками
Мониторинг работы средств защиты информации
Проверка актуальности антивирусных баз и обновлений ПО

Ежеквартальный контроль:

Анализ эффективности организационных мер защиты ПД
Проверка соблюдения требований локальных актов
Контроль исполнения обращений субъектов ПД
Мониторинг изменений в законодательстве о ПД

Ежегодный аудит соответствия:

Комплексная проверка соответствия 152-ФЗ и подзаконным актам
Аудит соответствия обработки ПД заявленным в РКН целям
Проверка актуальности и полноты локальных актов
Аттестация информационных систем персональных данных

Ответственные лица:

Куратор внутреннего контроля: Анненков Павел Александрович

13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
13.1 Применимое право
Настоящая Политика разработана и применяется в соответствии с законодательством Российской Федерации.
13.2 Разрешение споров
Все споры разрешаются в досудебном порядке. При невозможности достижения соглашения споры подлежат рассмотрению в суде в соответствии с законодательством РФ.
13.3 Особенности консалтинговой деятельности
Оказание консалтинговых услуг предполагает:

Повышенные требования к конфиденциальности деловой информации клиентов
Соблюдение коммерческой тайны и профессиональной этики
Ответственность за качество стратегических рекомендаций
Долгосрочные партнерские отношения с клиентами

13.4 Связь с локальными актами
Настоящая Политика является частью системы локальных нормативных актов компании по обработке персональных данных, включающей:

Положение об обработке и защите персональных данных сотрудников
Регламент работы с конфиденциальной информацией клиентов
Инструкцию по обеспечению информационной безопасности
Порядок действий при инцидентах информационной безопасности
Регламент рассмотрения обращений субъектов персональных данных

Все указанные документы разработаны в соответствии с требованиями ч. 1 ст. 18.1 Федерального закона № 152-ФЗ и доступны для ознакомления по запросу субъектов персональных данных.
13.5 Контактная информация для обращений
По вопросам обработки персональных данных:

Email: pannenkov@gmail.com
Ответственное лицо: Анненков Павел Александрович
Должность: Индивидуальный предприниматель
Телефон: +79859910893
Номер в реестре операторов: 9677200

Почтовый адрес для письменных обращений: Новоспортивная, д. 6, кв./оф. 6,
Московская область, р-н Одинцовский, г. Одинцово
Время рассмотрения обращений:

Срочные обращения (утечки, нарушения): не более 3 рабочих дней
Обычные обращения: не более 30 календарных дней
Запросы на доступ к ПД: не более 30 дней с момента идентификации субъекта

Режим работы службы поддержки:

Понедельник - Пятница: 09:00 - 18:00 (МСК)
Экстренная связь по инцидентам ИБ: круглосуточно

Дата вступления в силу: 24 июня 2025 года
Версия документа: 1.0

Настоящая Политика размещена на сайте: https://annenkov.partners
Связанные документы: доступны в разделе "Документы по персональным данным" на сайте компании