Правовой документ

Соответствие законодательству РФ

Как PVZ Guard AI работает в правовом поле 152-ФЗ, 242-ФЗ и Роскомнадзора

Редакция от 15 мая 2026 года

Эта страница - публичный документ о том, как PVZ Guard AI соответствует российскому законодательству при обработке видеоматериалов с камер пунктов выдачи. Документ открыт - чтобы наши клиенты (владельцы ПВЗ) и их сотрудники понимали, что и почему мы делаем с данными.

1. Архитектура операторов ПДн

Согласно ст. 6 ч. 3 Федерального закона N 152-ФЗ "О персональных данных", обработка персональных данных может быть поручена оператором другому лицу - обработчику.

Кто кем является

  • Оператор ПДн - владелец ПВЗ (наш клиент). Он определяет цели обработки, является работодателем для сотрудников и владельцем помещения. На нём - уведомление работников, размещение табличек, подача уведомления в РКН.
  • Обработчик - ИП Кашинцев Е.В. (PVZ Guard AI). Действует строго по поручению оператора, не определяет цели, не использует данные в своих интересах.

Это закрепляется в Договоре-поручении, который автоматически заключается при акцепте оферты.

2. Где и как хранятся данные

ДанныеГде хранятсяСрок
Видео-фрагменты инцидентовYandex Object Storage (РФ)30 дней
Метаданные алертов (время, тип, ID камеры)PostgreSQL на VPS Yandex Cloud (РФ)90 дней
Учётные данные клиентов (email, телефон)PostgreSQL Yandex Cloud (РФ)До расторжения договора + 1 год
Логи и аналитикаVPS Yandex Cloud (РФ)30 дней

Yandex Cloud прошёл аттестацию ФСТЭК, соответствует требованиям 152-ФЗ и Постановления Правительства РФ N 1119 (УЗ-1, высший уровень защищённости). Все данные российских граждан хранятся на серверах в РФ в соответствии с 242-ФЗ.

3. Биометрия - почему её нет

Видеозапись лица становится биометрическими ПДн только когда используется для идентификации конкретной личности (см. ст. 11 152-ФЗ, разъяснения Роскомнадзора 2017, подтверждённые практикой 2022-2024).

PVZ Guard AI:

  • Не строит и не сохраняет биометрические векторы лиц.
  • Не идентифицирует личность в алертах. Уведомление формулируется как "Зафиксировано подозрительное поведение в зоне выдачи 14:32", а не "Иванов И.И. совершил кражу".
  • Анализирует поведение и события, а не людей: факт изъятия товара без сканирования, скопление очереди, отсутствие сотрудника на рабочем месте.

Это значит, что обязанность регистрации в Единой биометрической системе (ЕБС) на нас не распространяется (ЕБС - для идентификации в финансовых и государственных услугах, не для корпоративного видеонаблюдения).

4. AI-анализ и трансграничная передача

Для AI-анализа кадров используется Gemini API (Google). Серверы Google находятся за пределами РФ, что в общем случае является трансграничной передачей ПДн (ст. 12 152-ФЗ).

Меры защиты, которые мы применяем

  • Уведомление Роскомнадзора о трансграничной передаче ПДн (подаётся оператором - ИП Кашинцев Е.В. - по форме pd.rkn.gov.ru).
  • Обезличивание чувствительных областей кадра перед отправкой в Gemini (планируется в следующем релизе): локальное замыливание лиц обнаруженных людей на ПК с агентом, до отправки в облако. Gemini анализирует только поведенческие паттерны, не личности.
  • Минимизация данных: на анализ отправляются 3-5 ключевых кадров, не полное видео.
  • Локализация хранения: видео-фрагменты, попавшие в инцидент, после анализа хранятся только в Yandex Object Storage в РФ; в Google ничего не сохраняется.

5. Реагирование на инциденты

С 30 мая 2025 года вступили в силу поправки 152-ФЗ, обязывающие оператора уведомить Роскомнадзор об инциденте утечки персональных данных в течение 24 часов после его обнаружения (штраф за неуведомление - до 3 млн руб.).

Наша процедура (см. Юр. комплект):

  1. Обнаружение инцидента (мониторинг, сообщение от клиента, аудит).
  2. Уведомление клиента (оператора ПДн) в течение 1 часа - по email, Telegram, MAX.
  3. Совместное уведомление РКН в течение 24 часов с описанием инцидента и принятых мер.
  4. Внутреннее расследование, отчёт клиенту в течение 72 часов.
  5. Внедрение мер по предотвращению повторения.

6. Чеклист для владельца ПВЗ

При подключении PVZ Guard AI владелец ПВЗ обязан выполнить следующие юридические действия (мы предоставляем шаблоны в Юр. комплекте):

  1. Подать уведомление в Роскомнадзор (pd.rkn.gov.ru) об обработке ПДн. До начала обработки. Инструкция - в юр. комплекте.
  2. Разместить табличку о ведении видеонаблюдения на видном месте в ПВЗ. Шаблон таблички - в юр. комплекте.
  3. Уведомить работников о видеосъёмке под роспись (ст. 86-88 ТК РФ). Шаблон уведомления - в юр. комплекте.
  4. Издать локальный приказ о видеонаблюдении (для юридических лиц).
  5. Прописать обработку ПДн через подрядчика (PVZ Guard AI) в локальной Политике обработки ПДн.

Если у клиента нет наёмных работников и он ИП - часть требований не применима. Проконсультируйтесь с юристом по своему случаю.

7. Наши обязательства как обработчика

  • Обрабатываем ПДн строго по Договору-поручению и инструкциям клиента.
  • Не передаём данные третьим лицам без правового основания.
  • Уведомляем клиента об инциденте утечки в течение 1 часа, Роскомнадзор - в течение 24 часов.
  • Удаляем все ПДн в течение 30 дней после расторжения договора (или раньше по запросу клиента).
  • Применяем технические меры защиты, соответствующие УЗ-2 (по Постановлению Правительства N 1119): шифрование при передаче и хранении, ограничение доступа, журналирование.
  • Готовы предоставить клиенту техническое задание и аттестат соответствия по требованию.

Контакты по вопросам соответствия

ИП Кашинцев Евгений Владимирович
ИНН: 352527373763
ОГРНИП: 320352500010010
Email по вопросам обработки ПДн: privacy@pvzguard.ru
Email по юридическим вопросам: legal@pvzguard.ru