← На главную

Политика обработки персональных данных

Редакция 3.0 · Вступает в силу с 17 апреля 2026 года · Учитывает актуальную редакцию 152-ФЗ от 24.06.2025 · Оператор: ООО «Комендант» (юр.лицо в процессе регистрации, ОГРН/ИНН/адрес будут заполнены после регистрации)
Содержание
  1. Общие положения и термины
  2. Оператор персональных данных
  3. Статус: оператор и обработчик
  4. Цели обработки
  5. Категории субъектов ПДн
  6. Категории и состав ПДн
  7. Правовые основания обработки
  8. Способы и действия при обработке
  9. Сроки хранения и порядок уничтожения
  10. Локализация обработки на территории РФ
  11. Трансграничная передача
  12. Передача третьим лицам
  13. Меры безопасности ПДн
  14. Уровень защищённости ИСПДн
  15. Порядок реагирования на инциденты (24/72 ч)
  16. Права субъектов ПДн
  17. Контакты
  18. Изменение политики

1. Общие положения и термины

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных (далее — «ПДн») и меры по обеспечению их безопасности в информационной системе «Комендант MDM» (далее — «Сервис»), оператором и обработчиком которой выступает ООО «Комендант» (далее — «Оператор»).

Политика разработана в соответствии с:

Термины «персональные данные», «обработка», «оператор», «субъект ПДн», «согласие», «обезличивание», «блокирование», «уничтожение», «распространение», «предоставление», «трансграничная передача» используются в значениях, определённых ст. 3 152-ФЗ.

2. Оператор персональных данных

Реквизиты:
Наименование: ООО «Комендант» (юр.лицо в процессе регистрации, ОГРН/ИНН/адрес будут заполнены после регистрации)
ИНН/КПП/ОГРН: ____________ / ____________ / ____________
Юридический адрес: г. Москва (будет указан при регистрации)
Ответственный за организацию обработки ПДн: pdn@komendant-mdm.ru
Контакт поддержки: support@komendant-mdm.ru

Уведомление об обработке ПДн в Роскомнадзор не подаётся. В соответствии с ФЗ №266-ФЗ от 14.07.2022, с 01.03.2023 обязанность по направлению уведомления по ст. 22 152-ФЗ отменена для большинства операторов. Комендант MDM не попадает под исключения (не является государственной системой безопасности/правопорядка, обработка автоматизирована, сервис не относится к транспортной безопасности) — уведомление не требуется.

3. Статус Оператора: одновременно оператор и обработчик по поручению

В рамках Сервиса Оператор выступает в двух ролях в соответствии с ст. 6 152-ФЗ:

  1. Оператор ПДн — в отношении ПДн администраторов клиентов-юридических лиц (email, ФИО, должность, рабочий телефон, биллинговые реквизиты, учётные данные). Эти субъекты взаимодействуют с Оператором напрямую при регистрации tenant-аккаунта.
  2. Обработчик по поручению (ч. 3 ст. 6 152-ФЗ) — в отношении ПДн сотрудников клиентов, чьи устройства находятся под управлением клиента-работодателя через Сервис. Клиент-юрлицо, будучи оператором этих ПДн, поручает Оператору их обработку на условиях публичной оферты (раздел «Поручение на обработку ПДн»).

Ответственность за получение согласий сотрудников, издание локальных нормативных актов, уведомление работников о контроле корпоративного имущества лежит на клиенте-работодателе как операторе этих ПДн.

4. Цели обработки ПДн

По каждой цели обработки Оператор определяет отдельные условия в соответствии с ст. 18.1 152-ФЗ:

  1. Оказание услуг по управлению корпоративными мобильными устройствами (MDM/UEM) клиентам-юридическим лицам на условиях публичной оферты.
  2. Идентификация и аутентификация пользователей Сервиса (администраторов клиентов и конечных пользователей устройств).
  3. Выставление счетов, проведение расчётов, ведение бухгалтерского и налогового учёта.
  4. Техническая поддержка клиентов и реагирование на инциденты ИБ.
  5. Обеспечение работоспособности и безопасности Сервиса, обнаружение и предотвращение атак, расследование инцидентов.
  6. Выполнение требований 152-ФЗ, 98-ФЗ «О коммерческой тайне», 149-ФЗ «Об информации», ведение журналов аудита.
  7. Исполнение обязанностей, возложенных на работодателя — клиента Сервиса — в отношении контроля за корпоративным имуществом и соблюдения режима коммерческой тайны.

5. Категории субъектов ПДн

  • Администраторы клиентов-юрлиц — представители (ФИО, корпоративный email, телефон, должность); Оператор выступает оператором ПДн.
  • Сотрудники клиентов — пользователи корпоративных устройств, на которых установлено Device Policy Controller (DPC) приложение; Оператор выступает обработчиком по поручению клиента-работодателя.
  • Сотрудники Оператора — административный, технический персонал и инженеры поддержки.
  • Посетители сайта komendant-mdm.ru — в объёме cookies и логов веб-сервера.

6. Категории и состав ПДн

КатегорияСостав ПДн
ИдентификационныеФИО, должность, корпоративный email, рабочий телефон
АутентификационныеХеш пароля (bcrypt), session-токены, TOTP-секреты, FIDO2-ключи
Идентификаторы устройствIMEI, IMSI, серийный номер, MAC-адрес — хранятся в хешированном виде (HMAC-SHA256 с pepper-ключом); модель, производитель, версия ОС
ГеолокационныеGPS-координаты устройства (только если клиент-работодатель включил политику геотрекинга и получил согласие сотрудника)
ТехническиеПеречень установленных приложений, состояние устройства (compliance), системные журналы DPC
Журналы аудитаИстория действий администраторов: кто, когда, что сделал; IP-адрес, user-agent
БиллинговыеЮридическое наименование, ИНН, КПП, банковские реквизиты клиента; номера и суммы счетов
Cookies сайтаSession cookie komendant_session, CSRF-токен, UI-настройки

Оператор не обрабатывает специальные категории ПДн (ст. 10 152-ФЗ) — расовая/национальная принадлежность, политические взгляды, состояние здоровья, интимная жизнь — а также биометрические ПДн (ст. 11 152-ФЗ).

7. Правовые основания обработки

  1. Согласие субъекта ПДн (п. 1 ч. 1 ст. 6, ст. 9 152-ФЗ) — по форме Согласие на обработку ПДн.
  2. Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ), стороной или выгодоприобретателем по которому является субъект ПДн — публичная оферта SaaS.
  3. Поручение на обработку ПДн (ч. 3 ст. 6 152-ФЗ) — для ПДн сотрудников клиентов, переданных клиентом-работодателем в Сервис.
  4. Выполнение обязанностей, возложенных на работодателя (п. 5 ч. 1 ст. 6 152-ФЗ) — применяется клиентом-работодателем при контроле корпоративных устройств своих сотрудников.
  5. Выполнение требований законодательства (п. 2 ч. 1 ст. 6 152-ФЗ) — хранение документов в сроки, установленные НК РФ, законом о бухучёте, приказами ФСТЭК/ФСБ.

8. Способы и действия при обработке ПДн

Обработка осуществляется как с использованием средств автоматизации, так и без них, и включает:

  • Сбор — путём непосредственного получения от субъекта при регистрации или через формы сайта.
  • Запись, систематизация, накопление, хранение — в защищённой БД PostgreSQL на серверах в РФ.
  • Уточнение (обновление, изменение) — по запросу субъекта или в автоматическом режиме при синхронизации с устройством.
  • Извлечение, использование — в объёме, необходимом для целей раздела 4.
  • Передача (предоставление) — только внутри РФ, исключительно уполномоченным сотрудникам Оператора и только в рамках договорных отношений с клиентом.
  • Обезличивание — при экспорте агрегированной аналитики; уникальные идентификаторы устройств хранятся в хешированном виде.
  • Блокирование — при получении отзыва согласия или требования от субъекта до момента удаления.
  • Удаление, уничтожение — по истечении сроков хранения или по требованию субъекта.

9. Сроки хранения ПДн и порядок их уничтожения

КатегорияСрокОснование
Согласия на обработку ПДн (device_consents)3 года с момента отзыва или прекращенияСрок исковой давности, ст. 196 ГК РФ
Журналы аудита (audit_log)1 годПриказ ФСТЭК № 21, п. 13.1
GPS-треки устройств (device_tracks)90 днейМинимально необходимый период для расследования инцидентов
Отладочные системные логи (debug_logs)30 днейОперативная диагностика
Бухгалтерские документы, счета5 летСт. 29 402-ФЗ «О бухгалтерском учёте»
Данные аккаунта после удаления tenant30 дней soft-delete + уничтожениеПубличная оферта, раздел 7
Резервные копииДо 90 днейПолитика резервного копирования

По истечении срока хранения либо при достижении цели обработки ПДн уничтожаются или обезличиваются. Факт уничтожения фиксируется актом с указанием категорий данных, способа уничтожения и даты.

10. Локализация обработки на территории РФ

В соответствии с ч. 5 ст. 18 152-ФЗ (в редакции, действующей с 01.07.2025) первичный сбор, запись, систематизация, накопление, хранение, уточнение, извлечение ПДн граждан РФ осуществляются исключительно с использованием баз данных, находящихся на территории Российской Федерации. Хранение ПДн граждан РФ в иностранных БД запрещено.

Вся инфраструктура Сервиса (серверы приложений, СУБД, брокер EMQX, объектное хранилище MinIO, резервные копии) размещается на территории РФ (Москва). Иностранные облачные сервисы, CDN, аналитические системы, платёжные процессоры и почтовые серверы не используются.

11. Трансграничная передача ПДн

Оператор не осуществляет трансграничную передачу ПДн ни в какие иностранные юрисдикции (ст. 12 152-ФЗ). Предварительное уведомление Роскомнадзора о трансграничной передаче (форма pd.rkn.gov.ru/cross-border-transmission/form2/) не подаётся, так как передача не осуществляется.

12. Передача третьим лицам

Оператор не передаёт ПДн третьим лицам, за исключением следующих случаев:

  • Передача уполномоченным государственным органам РФ по мотивированному запросу в случаях, предусмотренных законодательством.
  • Возврат ПДн сотрудников клиенту-работодателю в рамках поручения на обработку (ч. 3 ст. 6 152-ФЗ).

13. Меры обеспечения безопасности ПДн

Перечень технических и организационных мер приведён в Политике информационной безопасности. Меры сформированы по ст. 18.1 и ст. 19 152-ФЗ:

  • Шифрование «at-rest» (AES-GCM-256 для секретов, GPG для бэкапов) и «in-transit» (TLS 1.2+ с SPKI-pinning для мобильных клиентов, HSTS).
  • Row-Level Security (FORCE RLS) в PostgreSQL для межтенантной изоляции.
  • Многофакторная аутентификация (MFA/TOTP/FIDO2) для администраторов; PIN-gate для сервисного режима DPC.
  • Хеширование идентификаторов устройств (IMEI/IMSI) через HMAC-SHA256.
  • Полное журналирование действий (audit trail), write-once роль БД, hash-chain целостности.
  • Защита периметра: ModSecurity + OWASP CRS + CrowdSec + rate limits.
  • Регулярные резервные копии с шифрованием GPG и проверкой восстановления.

Средства криптографической защиты (СКЗИ) используются при необходимости и подлежат сертификации ФСБ.

14. Уровень защищённости ИСПДн

В соответствии с Постановлением Правительства РФ № 1119 от 01.11.2012 информационная система Сервиса классифицирована как ИСПДн 3-го уровня защищённости (УЗ-3) на основании:

  • Актуальны угрозы 3-го типа (отсутствуют недекларированные возможности в системном и прикладном ПО).
  • Обрабатываются ПДн иных категорий (не специальные, не биометрические, не общедоступные).
  • Обрабатываются ПДн сотрудников клиентов-юрлиц (не самого оператора).
  • Количество субъектов ПДн — до 100 000.

Состав организационных и технических мер соответствует Приказу ФСТЭК России № 21 от 18.02.2013 (ред. от 14.05.2020): идентификация/аутентификация, управление доступом, регистрация событий безопасности, антивирусная защита, межсетевое экранирование, криптография (по необходимости), контроль целостности, резервирование. Модель угроз и модель нарушителя сформированы и пересматриваются ежегодно.

15. Порядок реагирования на инциденты с ПДн (24 ч / 72 ч)

В соответствии с ч. 3.1 ст. 21 152-ФЗ Оператор при выявлении инцидента, повлёкшего неправомерную или случайную передачу (предоставление, распространение, доступ) ПДн, повлёкшую нарушение прав субъектов:

  1. В течение 24 часов с момента выявления инцидента — направляет первичное уведомление в Роскомнадзор через форму pd.rkn.gov.ru/incidents/form/ с указанием фактов инцидента, предполагаемых причин и категорий затронутых ПДн.
  2. В течение 72 часов — направляет окончательный отчёт с результатами внутреннего расследования: установленные причины, выявленный вред, принятые меры по устранению последствий, меры по предупреждению повторения.
  3. Уведомление затронутых субъектов ПДн — в разумный срок по email, если инцидент повлёк реальные риски для их прав и интересов.
  4. Взаимодействие с ГосСОПКА (НКЦКИ) — при признаках компьютерной атаки на объекты КИИ клиентов.
Регуляторный контекст: с 30.05.2025 действует ФЗ №420-ФЗ от 30.11.2024 — за повторные утечки ПДн введены оборотные штрафы 1–3% совокупной выручки (минимум 25 млн ₽, максимум 500 млн ₽). Оператор выстраивает процессы ИБ с учётом этого риска.

16. Права субъектов ПДн

В соответствии со ст. 14–21 152-ФЗ субъект ПДн имеет право:

  • Получать информацию о факте обработки, её целях, составе, сроках и способах.
  • Требовать уточнения, блокирования или уничтожения ПДн в случае их неполноты, неточности, устаревания или неправомерной обработки.
  • Отзывать ранее данное согласие на обработку.
  • Обжаловать действия Оператора в Роскомнадзор или в суд.

Обращение оформляется в свободной форме и направляется на pdn@komendant-mdm.ru либо письменно на юридический адрес Оператора. Срок ответа — не позднее 30 дней с момента получения запроса.

17. Контакты для обращений

Ответственный за обработку ПДн: pdn@komendant-mdm.ru
Поддержка: support@komendant-mdm.ru
Информационная безопасность: security@komendant-mdm.ru

18. Изменение политики

Оператор вправе вносить изменения в Политику. Актуальная редакция публикуется по адресу komendant-mdm.ru/legal/policy-pdn.html. О существенных изменениях субъекты ПДн уведомляются по email не позднее чем за 14 дней до вступления в силу.

Редакция 3.0 · Действует с 17 апреля 2026 года · Учитывает 152-ФЗ (ред. 24.06.2025), ФЗ №266-ФЗ, ФЗ №420-ФЗ, ПП №1119, Приказ ФСТЭК №21