Политика конфиденциальности и защиты персональных данных
Последнее обновление: Январь 2026
1. Контролёр данных
Construction Team — облачная платформа для управления строительными проектами, предоставляемая в форме услуги (SaaS). Для целей Регламента (ЕС) 2016/679 (GDPR) контролёром данных является юридическое лицо, указанное в разделе 17 настоящей Политики.
Контролёр определяет цели и средства обработки персональных данных, собираемых посредством Платформы.
Когда Клиент (юридическое лицо) использует Платформу для управления данными о своих сотрудниках, субподрядчиках или партнёрах, Клиент выступает в качестве самостоятельного контролёра в отношении таких данных, а Construction Team действует в качестве обработчика данных в значении ст. 28 GDPR.
Отношения между Construction Team и Клиентом в качестве обработчика регулируются Соглашением об обработке данных (DPA), которое является неотъемлемой частью договора на подписку.
2. Определения
Для целей настоящей Политики конфиденциальности:
«Персональные данные» — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных).
«Обработка» — любая операция с персональными данными: сбор, запись, организация, структурирование, хранение, адаптация, извлечение, ознакомление, использование, раскрытие, удаление или уничтожение.
«Субъект данных» — физическое лицо, персональные данные которого подлежат обработке (пользователи, сотрудники клиентов, контактные лица партнёров).
«Обработчик данных» — лицо, обрабатывающее персональные данные от имени контролёра.
«Субобработчик» — третье лицо, которому обработчик передал часть обработки данных.
«Нарушение безопасности персональных данных» — нарушение, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию персональных данных или доступу к ним.
3. Сфера действия и применимость
Настоящая Политика конфиденциальности применяется в отношении:
Всех физических лиц, посещающих веб-сайт constructionteam.app.
Пользователей, создающих учётную запись и использующих Платформу.
Контактных лиц юридических лиц — клиентов, поставщиков и партнёров, чьи данные вносятся в Платформу.
Физических лиц, обращающихся к нам через контактную форму, электронную почту или иные каналы связи.
Сотрудников и представителей компаний-клиентов, чьи данные обрабатываются в рамках договора на подписку.
Настоящая Политика не применяется в отношении анонимизированных или агрегированных данных, не позволяющих идентифицировать физическое лицо.
4. Категории собираемых нами персональных данных
4.1. Идентификационные и контактные данные
При регистрации и использовании Платформы мы собираем:
Имя и фамилию пользователя.
Адрес деловой электронной почты.
Номер телефона (при условии его предоставления).
Наименование компании, регистрационный номер и адрес юридического лица — клиента.
Должность/роль в организации.
4.2. Технические данные
Автоматически собираются при доступе к Платформе:
IP-адрес и приблизительное географическое местонахождение (на уровне страны/города).
Тип и версия браузера, операционная система.
Идентификаторы устройств.
Дата, время и продолжительность сеансов.
Посещённые страницы и используемые функции.
4.3. Деловые данные
В процессе работы с Платформой могут обрабатываться:
Данные из счетов-фактур, договоров, коммерческих предложений и иных документов, внесённых Клиентом.
Имена и контактные данные сотрудников, субподрядчиков и партнёров, внесённые Клиентом.
Финансовая информация (банковские счета, суммы счетов-фактур), внесённая Клиентом.
Данные о строительных объектах, ведомостях объёмов работ и инвентаризации.
Важно: в отношении деловых данных, внесённых Клиентом, Клиент выступает в качестве контролёра данных. Construction Team обрабатывает такие данные исключительно по указаниям Клиента и на основании Соглашения об обработке данных.
4.4. Платёжные данные
Для обработки платежей по подписке:
Construction Team НЕ хранит полные номера банковских карт.
Мы храним только: последние 4 цифры карты, тип карты, срок действия и идентификатор транзакции.
5. Цели и правовые основания обработки
Мы обрабатываем персональные данные исключительно при наличии действительного правового основания согласно ст. 6(1) GDPR:
5.1. Исполнение договора (ст. 6(1)(b))
Создание учётных записей пользователей и управление ими.
Предоставление услуги по подписке и технической поддержки.
Обработка платежей и выставление счетов.
Коммуникация по вопросам, связанным с услугой (системные уведомления, изменения условий).
5.2. Законный интерес (ст. 6(1)(f))
С учётом теста на соразмерность, обеспечивающего, чтобы наш интерес не превалировал над правами субъекта данных:
Совершенствование Платформы посредством анализа использования (агрегированные данные).
Обеспечение безопасности — выявление несанкционированного доступа, злоупотреблений и кибератак.
Предотвращение мошенничества и недобросовестного использования услуги.
Внутренняя отчётность и аудит.
5.3. Соблюдение правовой обязанности (ст. 6(1)(c))
Хранение бухгалтерских документов в соответствии с Законом о бухгалтерском учёте (10 лет).
Предоставление данных в случаях, предусмотренных законом или по требованию компетентного органа.
Исполнение налоговых обязательств.
5.4. Согласие (ст. 6(1)(a))
Применяется исключительно при отсутствии иного правового основания:
Направление маркетинговых сообщений и информационных рассылок (с правом отказа в любое время).
Использование факультативных файлов cookie для аналитики и рекламы.
Участие в опросах удовлетворённости и исследованиях.
Согласие может быть отозвано в любое время, что не влияет на правомерность обработки, осуществлённой до его отзыва.
6. Файлы cookie и технологии отслеживания
Мы используем следующие категории файлов cookie:
6.1. Строго необходимые (согласие не требуется)
Сессионные файлы cookie для аутентификации и поддержания пользовательской сессии.
Файлы cookie для защиты от CSRF (безопасность форм).
Файлы cookie для сохранения языковых предпочтений.
6.2. Аналитические (с согласия)
Google Analytics — для анализа трафика и поведения посетителей.
Внутренняя аналитика — для улучшения пользовательского опыта.
6.3. Управление файлами cookie
Вы можете управлять файлами cookie посредством настроек браузера или через баннер cookie при первом посещении. Отключение строго необходимых файлов cookie может негативно повлиять на функциональность Платформы.
7. Срок хранения данных
Мы храним персональные данные только в течение срока, необходимого для достижения цели, для которой они были собраны:
Данные учётной записи — до прекращения подписки плюс 30 дней для экспорта данных.
Деловые данные Клиента — до прекращения договора плюс 30 дней для экспорта, после чего подлежат окончательному удалению.
Бухгалтерские документы — 10 лет согласно Закону о бухгалтерском учёте.
Журналы безопасности — до 12 месяцев.
Маркетинговое согласие — до его отзыва субъектом данных.
Данные контактной формы — до 6 месяцев после разрешения обращения.
Резервные копии — до 90 дней, после чего автоматически перезаписываются.
По истечении сроков хранения данные подлежат удалению или необратимой анонимизации. В случае спора или судебного иска данные могут храниться до окончательного завершения производства.
8. Передача данных третьим лицам
Мы не продаём, не сдаём в аренду и не торгуем персональными данными. Мы передаём данные только в следующих случаях:
8.1. Субобработчики
Мы используем услуги доверенных поставщиков, с которыми заключены соглашения в соответствии со ст. 28 GDPR:
Хостинг и инфраструктура — для хранения данных на серверах в ЕС.
Платёжные услуги (Stripe) — для обработки платежей по подписке.
Услуги электронной почты — для отправки системных и транзакционных писем.
Обработка с использованием ИИ (OpenAI) — для интеллектуального распознавания документов (см. раздел 12).
Мониторинг и отслеживание ошибок — для обеспечения стабильности услуги.
8.2. Правовые требования
Мы вправе раскрыть персональные данные в случаях, предусмотренных:
Применимым законодательством или нормативным актом.
Судебным решением или актом компетентного органа.
Защитой прав, имущества или безопасности Construction Team, его пользователей или общества.
9. Международная передача данных
Ваши данные хранятся на серверах, расположенных на территории Европейского союза.
В случаях, когда передача за пределы ЕЭЗ является необходимой (например, субобработчикам в США), мы обеспечиваем надлежащий уровень защиты посредством Стандартных договорных условий (SCC), утверждённых Европейской комиссией (Решение 2021/914).
Обработка с использованием ИИ (OpenAI) может предполагать передачу данных в США. OpenAI сертифицирован в рамках EU-US Data Privacy Framework и применяет дополнительные технические меры защиты.
Перед каждой передачей мы проводим Оценку воздействия передачи (Transfer Impact Assessment, TIA) в соответствии с руководящими указаниями EDPB.
Перечень субобработчиков и мест их нахождения предоставляется по запросу по адресу info@constructionteam.app.
10. Ваши права согласно GDPR
В соответствии с Регламентом (ЕС) 2016/679 Вам принадлежат следующие права:
Право доступа (ст. 15)
Вы вправе получить подтверждение того, обрабатываются ли Ваши персональные данные, доступ к ним, а также информацию о целях обработки, категориях данных, получателях и сроке хранения.
Право на исправление (ст. 16)
Вы вправе требовать исправления неточных персональных данных или дополнения неполных данных без неоправданной задержки.
Право на удаление (ст. 17)
Вы вправе требовать удаления Ваших персональных данных в случаях, когда: данные более не являются необходимыми для целей их обработки; Вы отзываете согласие; Вы возражаете против обработки; либо данные обрабатывались незаконно. Указанное право не применяется в случаях, когда обработка необходима для исполнения правовой обязанности.
Право на ограничение обработки (ст. 18)
Вы вправе требовать ограничения обработки в случаях, когда Вы оспариваете точность данных, обработка является незаконной либо Вы возразили против обработки на период проверки.
Право на переносимость данных (ст. 20)
Вы вправе получить Ваши данные в структурированном, общеупотребительном и машиночитаемом формате (JSON, CSV) и передать их другому контролёру. Платформа предусматривает функцию экспорта данных из пользовательской панели.
Право на возражение (ст. 21)
Вы вправе возразить против обработки данных, осуществляемой на основании законного интереса. В случае возражения мы прекратим обработку, за исключением случаев, когда мы докажем наличие веских законных оснований, превалирующих над Вашими интересами. Вы вправе в любое время безусловно возразить против обработки в целях прямого маркетинга.
Право не быть объектом автоматизированного принятия решений (ст. 22)
Вы вправе не быть объектом решения, основанного исключительно на автоматизированной обработке, включая профилирование, которое порождает правовые последствия в отношении Вас. Construction Team не принимает автоматизированных решений с правовыми последствиями без участия человека.
11. Реализация Ваших прав
Для реализации любого из Ваших прав Вы можете обратиться к нам по следующим каналам связи:
Электронная почта: info@constructionteam.app (с темой «GDPR Request»).
Посредством контактной формы по адресу constructionteam.app/contact.
Письмом по адресу, указанному в разделе 17.
В целях Вашей защиты мы вправе запросить подтверждение Вашей личности до рассмотрения запроса.
Мы отвечаем на каждый запрос в течение 30 дней. В случае его сложности или поступления нескольких запросов срок может быть продлён до 60 дней, о чём Вы будете уведомлены.
Реализация Ваших прав осуществляется на безвозмездной основе. В отношении явно необоснованных или чрезмерных запросов (в частности, ввиду их повторяемости) мы вправе установить разумную плату или отказать в их рассмотрении.
12. Обработка с использованием ИИ и автоматизированное принятие решений
Платформа использует искусственный интеллект (ИИ) в следующих целях:
Автоматическое распознавание и извлечение данных из отсканированных документов (счета-фактуры, ведомости объёмов работ, протоколы).
Интеллектуальное сопоставление номенклатурных позиций посредством семантических векторов (embeddings).
Предложения по категоризации и классификации документов.
Гарантии при обработке с использованием ИИ
Результаты ИИ всегда носят рекомендательный характер — окончательное решение принимает пользователь, который рассматривает и одобряет/отклоняет результаты.
Автоматизированные решения, влекущие правовые или иные существенные последствия, не принимаются без участия человека.
Документы, передаваемые для обработки с использованием ИИ, обрабатываются в режиме реального времени и не сохраняются поставщиком ИИ для обучения моделей.
Обработка с использованием ИИ может предполагать передачу данных субобработчику (OpenAI), как указано в разделе 9.
Вы вправе в любое время потребовать участия человека либо отказаться от обработки с использованием ИИ.
13. Защита данных по умолчанию и при проектировании
В соответствии со ст. 25 GDPR мы применяем принципы Data Protection by Design and by Default:
Минимизация данных — мы собираем только данные, необходимые для конкретной цели.
Изоляция данных (multi-tenancy) — данные каждого Клиента строго изолированы на уровне базы данных. Ни один Клиент не имеет доступа к данным другого Клиента.
Ролевая модель доступа (RBAC) — каждый пользователь имеет доступ только к тем данным, в отношении которых ему предоставлены права администратором учётной записи.
Шифрование по умолчанию — все данные шифруются при передаче (TLS 1.3) и при хранении.
Журнал аудита — каждое действие пользователя регистрируется в целях прослеживаемости и подотчётности.
Псевдонимизация — при наличии возможности мы используем внутренние идентификаторы вместо непосредственных персональных данных.
14. Технические и организационные меры безопасности
Мы применяем следующие меры в соответствии со ст. 32 GDPR:
14.1. Технические меры
Шифрование данных при передаче посредством TLS 1.3 и HSTS.
Шифрование данных при хранении (AES-256) в отношении баз данных и резервных копий.
Многофакторная аутентификация (MFA) для административного доступа.
Межсетевой экран уровня веб-приложений (WAF) и защита от DDoS-атак.
Автоматическое выявление аномалий и подозрительной активности.
Регулярное сканирование уязвимостей и тестирование на проникновение.
Регулярное автоматизированное резервное копирование с географической репликацией.
14.2. Организационные меры
Принцип минимальных привилегий применительно к доступу сотрудников.
Обучение персонала вопросам защиты данных.
Политика управления инцидентами в сфере персональных данных.
Регулярный пересмотр и обновление мер безопасности.
Соглашения о конфиденциальности со всеми сотрудниками и субподрядчиками.
15. Уведомление о нарушении
В случае нарушения безопасности персональных данных:
Мы уведомляем Комиссию по защите персональных данных (CPDP) в течение 72 часов с момента установления факта нарушения, если оно может повлечь риск для прав и свобод физических лиц (ст. 33 GDPR).
Мы уведомляем затронутых субъектов данных без неоправданной задержки, если нарушение может повлечь высокий риск (ст. 34 GDPR).
Мы документируем каждое нарушение, включая обстоятельства, последствия и принятые корректирующие меры.
Когда Construction Team выступает в качестве обработчика, мы без неоправданной задержки уведомляем Клиента (контролёра) с целью обеспечения исполнения им своих обязательств по уведомлению.
16. Должностное лицо по защите данных (DPO)
По всем вопросам, связанным с защитой персональных данных, Вы можете обратиться к нашему Должностному лицу по защите данных:
Электронная почта: info@constructionteam.app
Тема: «DPO / Data Protection»
Должностное лицо по защите данных рассматривает все обращения и запросы, связанные с обработкой персональных данных, и координирует исполнение прав субъектов данных.
17. Право на жалобу и обращение в надзорный орган
Если Вы полагаете, что обработка Ваших персональных данных нарушает положения GDPR, Вы вправе подать жалобу в надзорный орган:
Комиссия по защите персональных данных (CPDP)
Адрес: бул. «Проф. Цветан Лазаров» № 2, г. София 1592
Телефон: 02/91-53-518
Электронная почта: kzld@cpdp.bg
Веб-сайт: www.cpdp.bg
Рекомендуем первоначально обратиться к нам по адресу info@constructionteam.app в целях непосредственного урегулирования вопроса.
18. Данные несовершеннолетних
Construction Team является B2B-платформой, предназначенной для юридических лиц и их сотрудников. Мы не осуществляем сознательного сбора персональных данных лиц, не достигших 16-летнего возраста. В случае обнаружения факта сбора нами данных несовершеннолетнего такие данные подлежат незамедлительному удалению. Если Вы полагаете, что несовершеннолетний предоставил персональные данные посредством Платформы, просим обратиться к нам по адресу info@constructionteam.app.
19. Изменения Политики конфиденциальности
Мы оставляем за собой право обновлять настоящую Политику в случае:
Изменений применимого законодательства или указаний надзорного органа.
Изменений в услугах, функциональных возможностях или составе субобработчиков.
Рекомендаций по результатам аудитов или оценок воздействия.
О существенных изменениях мы уведомим Вас по электронной почте и/или посредством уведомления на Платформе не менее чем за 30 дней. Продолжение использования Платформы после вступления изменений в силу означает принятие обновлённой Политики.
20. Применимое право и контактная информация
Настоящая Политика конфиденциальности регулируется Регламентом (ЕС) 2016/679 (GDPR), Законом Республики Болгария о защите персональных данных, а также применимым европейским и национальным законодательством.
Контактная информация для обращений по вопросам защиты данных:
Электронная почта: info@constructionteam.app
Веб-сайт: constructionteam.app
Тема: «Защита персональных данных»
Мы используем файлы cookie для обеспечения корректной работы платформы и улучшения вашего опыта. Узнать больше о файлах cookie