← На главную KampusCRM

Документы

Политика конфиденциальности и обработки персональных данных о порядке обработки, хранения и защиты персональных данных в сервисе KampusCRM

Актуальная редакция: действует текущая публикация на сайте · версия документа 2.0

Настоящая Политика разрабатывается и публикуется в соответствии с действующей редакцией Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации, применимыми к обработке персональных данных на дату редакции Политики. Политика размещается по адресам /privacy и /personal (перенаправление на эту страницу) и является неотъемлемым приложением к публичной оферте на доступ к программе для ЭВМ «KampusCRM». Согласия субъектов персональных данных оформляются отдельно от текста Политики в порядке, предусмотренном разделом 6 настоящего документа и интерфейсом Сервиса.

На этапе раннего доступа абонентская плата может не взиматься - это не снимает обязанностей по защите персональных данных и не ограничивает права субъектов персональных данных.

1. Общие положения

1.1. Статус документа

Политика определяет общий порядок обработки и защиты персональных данных при использовании сайта и Сервиса «KampusCRM» / программной платформы «KampusOS» (далее совместно - Сервис) и действует до размещения новой редакции. Нормативная база включает, в том числе, Положение об особенностях обработки персональных данных при осуществлении их сбора, записи, систематизации (утв. Правительством РФ № 1119 от 01.11.2012 и последующими изменениями) и актуальные акты исполнительной власти, применимые на дату редакции, включая методические рекомендации по учёту согласий и уведомительным режимам, если они применимы к Оператору. Императивные положения закона имеют преимущество перед настоящим текстом при их расхождении.

1.2. Оператор персональных данных

По отношению к пользователям Сервиса (администраторам школ, преподавателям, бухгалтерам, ученическим аккаунтам портала, иным пользователям, авторизующимся в Сервисе) и посетителям публичного сайта оператором персональных данных выступает лицо согласно реквизитам ниже.

Организация и реквизиты для договора, счетов и официальной переписки публикуются на этом сайте после размещения полного блока реквизитов. Запросы направляйте на адрес электронной почты, указанный в разделе «Контакты» настоящей страницы и на странице Контакты.

E-mail для претензий и сопровождения: help@kampuscrm.ru

Дублируем каналы для обращений субъектов данных (полный перечень - на странице Контакты).

1.3. Клиент Сервиса как самостоятельный оператор

Общеобразовательная организация, студия или иной клиент платформы, использующие Сервис для ведения кабинета (далее - Клиент), в отношении персональных данных своих учеников (законных представителей), своих работников и иных контрагентов, сведения о которых вносятся в Сервис, выступает самостоятельным оператором персональных данных. KampusCRM (Оператор платформы) обеспечивает обработку указанных данных в объёме, необходимом для исполнения договорных отношений с Клиентом, главным образом как лицо, осуществляющее обработку по поручению оператора персональных данных, в смысле частей 3–5 статьи 6 152‑ФЗ, если иное прямо не предусмотрено договором и технической архитектурой сервера. Клиент обязан иметь надлежащие правовые основания (согласия, договор и т. п.) на ввод и обработку данных субъектов в своей организации через Сервис.

1.4. Предмет регулирования и категории субъектов

Политика распространяется на обработку персональных данных: пользователей Сервиса; субъектов, данные которых вносит Клиент в свой кабинет (ученики, родители, сотрудники и др. по усмотрению Клиента); посетителей маркетинговых страниц сайта без создания аккаунта - в объёме, получаемом при просмотре и при нажатии кнопок согласий.

1.5. Коммуникации и каналы связи

Интеграции Сервиса (в частности отправка текстовых уведомлений в мессенджеры Telegram, MAX или ВКонтакте, а также по электронной почте по настройкам Клиента) используют внешние каналы связи под управлением Клиента (токены, идентификатор чата или иного получателя). По такому маршруту Оператор платформы обрабатывает персональные данные исключительно для доставки сообщений по выбору Клиента, в связи с исполнением договора с Клиентом. Клиент несёт ответственность за законность состава сообщений и за наличие у него необходимых согласий и оснований.

1.6. Локализация данных

Оператор ориентируется на ведение основных записей баз персональных данных граждан Российской Федерации с использованием инфраструктуры размещения на территории РФ в понимании статьи 18 152‑ФЗ применительно к обработке через Сервис. Фактический перечень площадок и операторов хостинга может уточняться при интеграции с подрядчиками; изменения условий критичным образом сообщаются Клиентам доведением редакции оферты и Политики.

2. Термины и определения

Ниже толкование соответствует духу статьи 3 152‑ФЗ; при спорном толковании применяются определения закона.

  • Обезличивание персональных данных - действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту.
  • Согласие на обработку персональных данных - отдельное, осознанное и конкретное волеизъявление субъекта, когда это требуется по закону или по политике Оператора.
  • Оператор персональных данных - лицо, самостоятельно определяющее цели и состав данных (в рамках настоящей Политики - Оператор платформы и/или Клиент в части данных своей организации).
  • Обработка по поручению- обработка Оператором платформы данных субъектов Клиента в целях исполнения договора с Клиентом при соблюдении статей 6 и 18 152‑ФЗ и условий договора (оферты).

3. Принципы и условия обработки персональных данных

3.1. Принципы

Обработка осуществляется с соблюдением принципов 152‑ФЗ, включая:

  1. законность и добросовестность;
  2. ограничение обработкой конкретных, заранее объявленных целей;
  3. несовмещение несовместимых между собой целей обработки в одной операции без правового основания;
  4. соответствие содержания и объёма обработки заявленным целям, недопущение избыточности;
  5. достоверность и актуализацию по мере необходимости;
  6. уничтожение или обезличивание по достижении целей либо при утрате правовых оснований, если иное не требует закон;
  7. обеспечение безопасности персональных данных.

3.2. Правовые основания (обобщённо по категориям)

Применительно к каждому сценарию обработки сохраняется требование иметь хотя бы одно из оснований, предусмотренных ст. 6 152‑ФЗ. Обобщённо:

Категория субъектовПравовое основание (ст. 6 152‑ФЗ)Фиксация у Оператора платформы
Зарегистрировавшиеся пользователи (владельцы аккаунта, сотрудники Клиента в Сервисе)п. 1 ч. 1 (согласие) и/или п. 5 ч. 1 (исполнение договора оферты с Оператором)Отметки в интерфейсе регистрации и логине, журнал учёта событий (в т. ч. ConsentAuditLog), параметры оферты
Персональные данные, вводимые Клиентом о третьих лицах (ученики, родители и др.)Как правило п. 2 ч. 1 (обработка по поручению Клиента) при условии правомерности действий КлиентаШаблон оферты/параметров кабинета; технические журналы; хранность по договору с Клиентом
Посетители маркетинговых страницп. 1 ч. 1 при использовании не обязательных cookie - через отдельный интерфейс согласия (баннер)Отметки в журнале согласий на cookie, технические параметры браузера

3.3. Поручительская обработка

По запросу и в интересах исполнения договора с Клиентом Оператор платформы осуществляет обработку включая операции из ст. 3 152‑ФЗ - сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу (предоставление доступа при работе поддержки ограниченно), блокирование, удаление или уничтожение - исключительно в целях и объёме, определяемых функциональностью Сервиса и офертой. Клиент подтверждает наличие у себя правовых оснований для передачи и для поручения обработки платформе. По требованию Клиента в рамках закона возможны возврат или удаление данных в контур клиента после прекращения договора с учётом резервных копий и требований закона об учёте.

4. Перечень категорий обрабатываемых данных

4.1. Пользователи Сервиса

  • фамилия, имя (отчество при наличии), устоявшиеся имена в интерфейсе;
  • адрес электронной почты, при наличии - номер телефона и другие контакты, указанные при регистрации;
  • наименование организации, роль пользователя в кабинете, служебные идентификаторы учётной записи;
  • пароли - в виде необратимых криптографических преобразований (хэш);
  • IP‑адрес, сведения о браузере/устройстве, технические cookie при работе приложения;
  • служебные журналы (даты входа и действий, где технически включаются) для надёжности и расследований.

4.2. Данные, внесённые Клиентом о третьих лицах

  • ФИО или иная обработка имени субъектов процесса обучения и контактов;
  • контакты родителей, учеников, партнёров по выбору Клиента;
  • данные занятий, расписание, платежные события, статусы, примечания в пределах, введённых Клиентом;
  • иные произвольные поля конфигурации CRM, активированные Клиентом.

4.3. Специальные категории и биометрия

Специальные категории персональных данных (состояние здоровья, политические, религиозные взгляды и другие случаи ст. 10 152‑ФЗ), а также биометрические персональные данные - сервис KampusCRM по умолчанию не собирает и не ставит своей задачей. Если Клиент вводит особые категории в свободных полях, он самостоятельно должен располагать основаниями ст. 10 152‑ФЗ.

5. Прозрачность и технические сообщения между пользователями

Встроенная лента уведомлений CRM, электронные письма, направляемые Оператором транзакционно или по триггеру из Сервиса, сообщения через интеграцию Telegram содержат персональные данные в том объёме, который задаёт Клиент шаблонами и содержимым учётных записей. Оператор платформы не использует указанную информацию для незаявленных маркетинговых рассылок без отдельного согласия.

6. Механизм получения, фиксации и отзыва согласий

6.1. Регистрация и ключевые операции

При создании аккаунта пользователь подтверждает согласие с Политикой и офертой средствами отдельной отметки, недоступной для смешения с иными текстами там, где это предусмотрено интерфейсом актуальной версии. После 01.09.2025 применима логика ст. 9 152‑ФЗ (в редакции изменений 2025 г.): текст согласия на обработку персональных данных выделяется отдельно от прочих согласий. Оператор ведёт электронный учёт ключевых фактов с сохранением по возможности времени действия пользователя, сетевого признака, версии Политики.

6.2. Журнал согласий (аудиторский след)

По событиям, предусмотренным платформенной конфигурацией (например, регистрация владельца кабинета, принятие политики, акцепт баннера cookie), записи фиксируются в техническом журнале в базе данных (в том числе в таблице журнала согласий) с сохранением цели записи согласования с версией Политики, IP и User‑Agent когда они передаются с запросами. Хранение ведётся сроками, связанными с целями обработки и сроками исковой давности по договору, как правило не менее пяти лет с момента последнего обработки данных субъекта либо отзыва согласия, если иное не установлено договором или законом.

6.3. Отзыв согласия

Отзыв возможен письменным обращением или электронным письмом на контакт из разделов 1.2 и связанных каналов с указанием субъекта и предпочитаемых действий (блокирование, удаление, выгрузка). Срок подготовки ответа - до 10 рабочих дней если иное не предусмотрено императивным законом. Отзыв не препятствует хранению данных, которые Оператор обязан хранить по закону после прекращения договорных оснований.

7. Трансграничная передача персональных данных

Трансграничная передача выполняется при наличии оснований, предусмотренных ст. 12 152‑ФЗ, включая передачу в страны обеспечивающие адекватную защиту, наличие письменного согласия субъекта либо иных случаев, прямо перечисленных законом. Если привлечение зарубежного подрядчика технически требует трансграничной передачи - условие оформляется с учётом требований законодательства и оферты. До акцепта таких режимов Клиенту доводятся существенные изменения редакции оферты и Политики.

8. Права субъекта персональных данных

8.1. Право на информацию об обработке

Вы вправе запросить сведения о факте и целях обработки ваших данных, основаниях, сроках, используемых способах обработки, наименовании и адресе Оператора, лицах, которым может передаваться информация при исполнении договора, искомых данных и источниках их получения. Оператор обязан дать разъяснение в общем случае в срок до 10 рабочих дней со дня получения запроса, с возможностью добросовестного продления до 15‑ти рабочих дней при объективном объёме уточнений.

8.2. Уточнение, блокирование и уничтожение

При выявлении неправомерной обработки вы вправе требовать её прекращения, блокирования с момента обращения (за исключением случаев, когда хранение требует закон) и уничтожения при отсутствии сохранившихся правомерных оснований по ст. 21 152‑ФЗ. Данные, введённые Клиентом о третьем лице, также можно уточнить в разумном объёме через администратора соответствующей организации.

8.3. Переносимость данных

В предусмотренных законом случаях субъект вправе получить предоставление данных в машиночитаемом виде для передачи другому оператору, если технически осуществимо в рамках функционала Сервиса.

9. Меры по обеспечению безопасности персональных данных

Оператор применяет правовые, организационные и технические меры адекватными угрозам, включая: назначение ответственных за процессы информационной безопасности, разграничение доступов по ролям, журналирование сессий где применимо, использование транспортного шифрования (HTTPS) при клиент-серверном взаимодействии, хэширование секретов, резервирование средств восстановления, антивредоносную защиту инфраструктуры подрядчиков. Пользователи обязаны обеспечивать конфиденциальность своих паролей; при утрате реквизитов доступ отзывается сменой пароля или блокировкой учётной записи.

10. Информирование о раскрытии и взаимодействие с Роскомнадзором

При наличии обязанности уведомлять надзорные органы о факте несанкционированного доступа к персональным данным Оператор действует в порядке, установленном 152‑ФЗ и актами правительственных процедур для обработчиков данных. Пользователям сообщаются сведения, если это необходимо по закону или по добросовестной практике раскрытия безопасности. Оператор не несёт ответственности за инциденты вследствие нарушения пользователем мер сохранности пароля, заражением устройства или обходным использованием Сервиса.

11. Обезличивание

По достижении целей обработки возможно удаление данных либо обезличивание в случаях, когда это технически целесообразно и не противоречит обязательному хранению. Если подрядчики платформы требуют передачи обезличенных статистических наборов в госорганы, такая передача осуществляется при наличии правовых оснований и в порядке, установленном применимыми актами Российской Федерации на дату обработки.

12. Заключительные положения

Политика вступает в силу для новой редакции с момента публикации на сайте по адресу /privacy. Существенные изменения могут дополнительно доводиться через интерфейс Сервиса и электронную почту. При расширении целей обработки там, где требуется новое согласие по закону, Оператор запрашивает такое согласие до начала расширенной обработки.

Связанные документы: публичная оферта · условия возврата · контакты