Политика обработки персональных данных

Настоящая Политика Акционерное общество «Корпорация развития Кабардино-Балкарской Республики» (далее — «Оператор», «АО «Корпорация развития КБР»», «Корпорация») определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Оператором при обработке персональных данных пользователей сайта https://invest-kbr.ru/ (далее — «Сайт») и иных лиц, предоставивших свои персональные данные.

Политика разработана в соответствии с:

• Конституцией Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Трудовым кодексом Российской Федерации;
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральным законом от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
• Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказом ФСТЭК России от 18.02.2013 № 21;
• иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.

1. Общие положения и определения

1.1. Основные термины и определения

Для целей настоящей Политики применяются следующие термины и определения:

Оператор персональных данных (далее — Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

Работник Оператора — физическое лицо, состоящее в трудовых и иных гражданско-правовых отношениях с Оператором.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

Санкционированный доступ к информации — доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Уровень защищённости персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определённых угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных.

2. Сведения об операторе

• Полное наименование: Акционерное общество «Корпорация развития Кабардино-Балкарской Республики»
• Сокращённое наименование: АО «Корпорация развития КБР»
• ИНН: 0721019946
• ОГРН: 1070721000250
• КПП: 072501001
• Юридический адрес: 360001, Кабардино-Балкарская Республика, г. Нальчик, пр-кт Ленина, д. 57
• Почтовый адрес для корреспонденции: 360001, Кабардино-Балкарская Республика, г. Нальчик, пр-кт Ленина, д. 57
• Email для обращений по вопросам обработки персональных данных: consult@air-kbr.ru
• Телефон: +7 (8662) 77-01-91
• Регистрационный номер в реестре операторов Роскомнадзора: уведомление об обработке персональных данных подаётся в порядке ст. 22 152-ФЗ; номер регистрации в реестре будет указан в следующей редакции Политики

Ответственный за организацию обработки персональных данных (ст. 22.1 Федерального закона № 152-ФЗ): Уполномоченное лицо назначается; сведения будут опубликованы в следующей редакции настоящей Политики (версия 1.1).

3. Категории субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

1. Пользователи сайта https://invest-kbr.ru/ (далее — «Пользователи Сайта»):
   • заявители (физические лица), направляющие обращения через формы обратной связи;
   • получатели информационных рассылок;
   • инвесторы и представители инвесторов, использующие сервисы Сайта;
   • посетители Сайта (для целей веб-аналитики).
2. Представители контрагентов Оператора (юридических лиц и индивидуальных предпринимателей), взаимодействующих с АО «Корпорация развития КБР» по вопросам инвестиционной деятельности.
3. Работники АО «Корпорация развития КБР» и соискатели на вакантные должности (обработка регулируется внутренним «Положением о политике безопасности обработки персональных данных», утверждённым Оператором).

4. Категории обрабатываемых персональных данных

В отношении Пользователей Сайта Оператор обрабатывает следующие персональные данные.

а) Данные, предоставляемые Пользователем добровольно через формы Сайта:

• фамилия, имя, отчество;
• адрес электронной почты;
• номер телефона;
• почтовый адрес (при необходимости);
• организация и должность (при обращении от имени юридического лица);
• содержание обращения, тема обращения;
• вложенные файлы.

б) Данные, собираемые автоматически:

• IP-адрес и иные сетевые идентификаторы;
• информация о браузере (User-Agent);
• информация об операционной системе и устройстве;
• источник перехода (HTTP Referer);
• история навигации по Сайту;
• информация о действиях на Сайте, полученная через cookies и аналогичные технологии (см. § 15 «Использование cookies и веб-аналитики»).

Оператор не обрабатывает специальные категории персональных данных (ст. 10 Федерального закона № 152-ФЗ: расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь) — за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

Оператор не обрабатывает биометрические персональные данные (ст. 11 Федерального закона № 152-ФЗ).

5. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих конкретных, заранее определённых и законных целях:

1. Рассмотрение обращений Пользователей, направленных через формы Сайта.
2. Информирование Пользователей о деятельности Оператора (новости, мероприятия, события).
3. Сопровождение инвестиционных проектов в соответствии с уставными задачами Оператора.
4. Идентификация Пользователя в рамках предоставляемых сервисов.
5. Рассылка информационных материалов (при наличии согласия Пользователя).
6. Улучшение качества работы Сайта и предоставляемых услуг (статистика, аналитика).
7. Регистрация на мероприятия, проводимые Оператором.
8. Исполнение требований законодательства Российской Федерации.

Обработка персональных данных, несовместимая с указанными целями, не допускается.

6. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных являются:

1. Согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ) — для всех случаев сбора через формы Сайта; согласие выражается путём проставления отметки в чекбоксе формы и нажатия кнопки отправки.
2. Исполнение полномочий, возложенных законодательством на Оператора как акционерное общество с участием Кабардино-Балкарской Республики, осуществляющее функции по развитию инвестиционной деятельности на территории Республики (п. 4 ч. 1 ст. 6 Федерального закона № 152-ФЗ).
3. Заключение и исполнение договоров, стороной которых является субъект персональных данных (п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ).
4. Осуществление прав и законных интересов Оператора при условии ненарушения прав и свобод субъекта персональных данных (п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ).
5. Иные основания, предусмотренные федеральным законодательством.

7. Принципы и условия обработки персональных данных

Обработка персональных данных Оператором осуществляется на основе следующих принципов:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки, а также в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законодательством.

8. Перечень действий с персональными данными и способы обработки

Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ — в случаях, предусмотренных законодательством), блокирование, удаление, уничтожение.

Способы обработки: смешанный — автоматизированная обработка с использованием средств вычислительной техники и неавтоматизированная (на бумажных носителях) в случаях, когда это необходимо в связи с исполнением требований законодательства.

Решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, исключительно на основании автоматизированной обработки персональных данных Оператором не принимаются (за исключением случаев, прямо предусмотренных законодательством).

9. Передача персональных данных третьим лицам

Передача персональных данных третьим лицам осуществляется только в следующих случаях:

1. По запросам уполномоченных органов государственной власти Российской Федерации и Кабардино-Балкарской Республики — на основаниях и в порядке, установленных законодательством.
2. Лицам, осуществляющим по поручению Оператора отдельные действия по обработке персональных данных (поручение оформляется договором в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ), а именно:
   • Хостинг-провайдер сайта: ООО «Регистратор доменных имён РЕГ.РУ» (территория Российской Федерации, г. Москва) — обеспечивает размещение и техническую работу сайта и базы данных.
   • Сервис веб-аналитики: ООО «ЯНДЕКС» (АО «ЯНДЕКС.Метрика», территория Российской Федерации) — обработка обезличенной статистики посещений Сайта через счётчик идентификатором 87109424 без режима записи видео сессий (webvisor).
3. С согласия субъекта персональных данных — иным лицам, указанным в согласии.
4. В иных случаях, прямо предусмотренных федеральным законодательством.

Иные категории получателей персональных данных пользователей Сайта отсутствуют. Внутреннее направление электронных уведомлений сотрудникам Оператора при поступлении обращения через формы Сайта не является передачей третьим лицам по смыслу Федерального закона № 152-ФЗ.

Трансграничная передача персональных данных Оператором не осуществляется.

10. Сроки обработки и хранения персональных данных

Персональные данные обрабатываются и хранятся в течение срока, необходимого для достижения целей обработки, но не дольше:

• для обращений через формы Сайта — 3 года с момента последнего обращения;
• для подписки на рассылку — до момента отзыва согласия;
• для записей в журнале согласий на обработку персональных данных — 3 года с момента предоставления согласия (по аналогии с предельным сроком исковой давности по гражданско-правовым требованиям, ст. 196 ГК РФ);
• для данных, собираемых через cookies и веб-аналитику — в соответствии со сроками, установленными технологическими ограничениями (см. § 15 «Использование cookies и веб-аналитики»);
• для иных целей — в течение установленных нормативными актами сроков хранения соответствующих документов.

По достижении целей обработки или при утрате необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию.

11. Меры обеспечения безопасности персональных данных

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ст. 19 Федерального закона № 152-ФЗ, Постановление Правительства РФ от 01.11.2012 № 1119, Приказ ФСТЭК России от 18.02.2013 № 21).

В частности:

• определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применяются организационные и технические меры по обеспечению безопасности;
• проводится оценка эффективности принимаемых мер;
• осуществляется учёт машинных носителей персональных данных;
• установлены правила доступа к персональным данным;
• ведётся регистрация и учёт действий, совершаемых с персональными данными;
• осуществляется контроль за принимаемыми мерами;
• персональные данные передаются по защищённым каналам связи (HTTPS, TLS 1.2 и выше);
• IP-адрес и User-Agent в журнале согласий хранятся в виде криптографического хеша (HMAC-SHA256), а не в открытом виде.

Детализированные сведения об организационных и технических мерах представляют конфиденциальную информацию и не публикуются в полном объёме во избежание снижения уровня защищённости.

12. Локализация персональных данных на территории Российской Федерации

В соответствии с частью 5 статьи 18 Федерального закона № 152-ФЗ запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации.

База данных Сайта расположена на серверах хостинг-провайдера в Российской Федерации (г. Москва).

13. Права субъектов персональных данных

Субъект персональных данных имеет следующие права (ст. 14 и 21 Федерального закона № 152-ФЗ):

1. Получать информацию, касающуюся обработки своих персональных данных, в том числе:
   • подтверждение факта обработки персональных данных Оператором;
   • правовые основания и цели обработки;
   • применяемые Оператором способы обработки;
   • наименование и место нахождения Оператора;
   • сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным;
   • обрабатываемые персональные данные, относящиеся к субъекту, источник их получения;
   • сроки обработки персональных данных, в том числе сроки их хранения;
   • порядок осуществления субъектом прав, предусмотренных законом.
2. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3. Отозвать своё согласие на обработку персональных данных (порядок отзыва — см. § 14 настоящей Политики).
4. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Для реализации указанных прав субъект может направить письменный запрос по почтовому адресу 360001, Кабардино-Балкарская Республика, г. Нальчик, пр-кт Ленина, д. 57 или электронное обращение на адрес consult@air-kbr.ru.

Срок рассмотрения запроса — не более 30 дней с момента его получения (в отдельных случаях, предусмотренных статьёй 14 Федерального закона № 152-ФЗ, — 10 рабочих дней).

14. Порядок отзыва согласия на обработку персональных данных

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент путём направления:

• письменного заявления на почтовый адрес 360001, Кабардино-Балкарская Республика, г. Нальчик, пр-кт Ленина, д. 57;
• электронного сообщения с подтверждённого адреса отправителя на адрес consult@air-kbr.ru.

Заявление об отзыве согласия должно содержать сведения, позволяющие достоверно идентифицировать заявителя:

• фамилию, имя, отчество субъекта;
• сведения, подтверждающие участие в отношениях с Оператором (например, дата обращения, адрес электронной почты, использованный при подаче обращения через форму Сайта, а также иные сведения по усмотрению заявителя);
• при необходимости — сведения, удостоверяющие личность субъекта, в объёме, разумно достаточном для идентификации.

При получении отзыва согласия Оператор прекращает обработку персональных данных в течение 30 дней с момента получения заявления (если иное не предусмотрено законодательством).

Управление согласием на использование файлов cookies осуществляется через постоянный триггер «Cookie-настройки» в нижней части Сайта (см. § 15 «Использование cookies и веб-аналитики»).

15. Использование cookies и веб-аналитики

Сайт использует файлы cookies — небольшие текстовые файлы, сохраняемые на устройстве Пользователя при посещении Сайта.

Категории cookies, используемых на Сайте.

1. НЕОБХОДИМЫЕ (necessary) — без них работа Сайта невозможна:
   • сессионные cookies авторизации (BITRIX_SM_*, PHPSESSID);
   • CSRF-токены безопасности.
   Эти cookies устанавливаются всегда и не требуют отдельного согласия (на основании п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ — необходимость для исполнения обязательств перед Пользователем).
2. АНАЛИТИКА (analytics) — помогают улучшать Сайт:
   • Яндекс.Метрика (mc.yandex.ru) — сервис веб-аналитики ООО «ЯНДЕКС», счётчик идентификатором 87109424. Без режима webvisor (видеозапись сессий не ведётся).
3. МАРКЕТИНГ (marketing) — для персонализации рекламы:
   • На момент публикации настоящей версии Политики маркетинговые cookies на Сайте не используются.
4. ФУНКЦИОНАЛЬНЫЕ (functional) — запоминают предпочтения Пользователя и обеспечивают расширенные функциональные возможности:
   • kbr-widget («Investor Assistant») — встроенный AI-ассистент, обрабатывающий текстовые вопросы Пользователей в режиме онлайн-консультации в рамках деятельности Оператора по сопровождению инвестиционных проектов. Содержимое диалога обрабатывается для целей предоставления ответов и улучшения качества консультаций.

Управление согласием. Пользователь может в любое время:

• открыть «Cookie-настройки» через постоянную ссылку в нижней части Сайта и изменить категории, на которые он даёт или отзывает согласие;
• настроить параметры cookies в браузере (отключение cookies может ограничить функциональность Сайта).

Срок хранения cookies. Файлы cookies хранятся на устройстве Пользователя в течение срока, установленного для каждого файла (от сессии до 6 месяцев).

16. Изменения настоящей Политики

Оператор вправе вносить изменения в настоящую Политику. При внесении существенных изменений Оператор обновляет Политику на Сайте и указывает дату последнего обновления в начале документа.

• Версия документа: 1.0
• Дата вступления в силу: 21.05.2026

Полный журнал изменений (история редакций) доступен в раскрывающемся блоке внизу страницы.

17. Контактная информация и порядок рассмотрения обращений

По всем вопросам, связанным с обработкой персональных данных, Пользователь может обратиться к Оператору:

• Почтовый адрес: 360001, Кабардино-Балкарская Республика, г. Нальчик, пр-кт Ленина, д. 57
• Email: consult@air-kbr.ru
• Телефон: +7 (8662) 77-01-91

Ответственный за организацию обработки персональных данных: Уполномоченное лицо назначается; сведения будут опубликованы в следующей редакции настоящей Политики (версия 1.1).

Жалобы на действия Оператора могут быть направлены:

• в Роскомнадзор: https://rkn.gov.ru/ (центральный аппарат) либо в Управление Роскомнадзора по соответствующему федеральному округу;
• в органы прокуратуры Российской Федерации;
• в судебном порядке.

В случае выявления инцидента, связанного с нарушением безопасности персональных данных, Оператор уведомляет Роскомнадзор в течение 24 часов с момента выявления факта (ч. 3.1 ст. 21 Федерального закона № 152-ФЗ).