Обработка персональных данных

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. Федеральных законов № 266-ФЗ от 14.07.2022, № 420-ФЗ от 30.11.2024, № 421-ФЗ от 30.11.2024) (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, реализуемые Самаркиной Татьяной Викторовной (далее — Оператор).

1.2. Политика действует в отношении всех персональных данных, которые Оператор может получить от посетителей сайта sunrise-sec.ru (далее — Сайт), а также пользователей приложения Оператора, при использовании Сайта и приложения, заполнении форм, направлении заявок, заключении и исполнении договоров на оказание услуг по аудиту безопасности.

1.3. Оператор ставит своей важнейшей целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Настоящая Политика подлежит размещению в общем доступе на Сайте Оператора в соответствии с ч. 2 ст. 18.1 Закона о персональных данных.

2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Оператор — Самаркина Татьяна Викторовна (ИНН 391599393755), осуществляющая обработку персональных данных, а также определяющая цели и содержание обработки.

2.4. Пользователь (субъект персональных данных) — любое физическое лицо, посещающее Сайт, использующее приложение Оператора, направляющее заявку или заключающее договор с Оператором.

2.5. Автоматизированная обработка — обработка с помощью средств вычислительной техники.

2.6. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и/или уничтожаются материальные носители персональных данных.

Иные понятия используются в значениях, определённых ст. 3 Закона о персональных данных.

Обработка персональных данных осуществляется на следующих основаниях:

• ст. 6, 9, 10, 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• ст. 421, 437 Гражданского кодекса Российской Федерации (заключение и исполнение договоров);
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• договоры (публичная оферта) на оказание услуг по аудиту безопасности устройств;
• согласие субъекта персональных данных на обработку (оформляется как отдельный документ, не объединённый с офертой, в соответствии с требованиями ст. 9 Закона о персональных данных).

Оператор обрабатывает персональные данные исключительно в следующих целях:

4.1. Заключение, исполнение и прекращение договоров на оказание услуг по аудиту безопасности устройств (в т.ч. через приложение Оператора).

4.2. Идентификация Пользователя, обработка оплаты и управление подпиской.

4.3. Обратная связь, обработка заявок и обращений.

4.4. Предоставление технической и клиентской поддержки.

4.5. Направление информационных и рекламных сообщений (исключительно при наличии отдельного согласия субъекта).

4.6. Улучшение работы Сайта и приложения, анализ статистики использования (в обезличенном виде).

4.7. Исполнение требований законодательства РФ (бухгалтерский и налоговый учёт).

5.1. Категории субъектов: Пользователи Сайта, пользователи приложения, заказчики услуг (физические лица и представители юридических лиц).

5.3. При заключении договора дополнительно могут запрашиваться данные представителя заказчика (паспортные данные — только при необходимости в силу закона).

5.4. Оператор не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья, биометрические данные и т.д.), за исключением случаев, прямо предусмотренных законодательством.

6.1. Основание: обработка осуществляется с согласия субъекта (отдельный документ) или на иных основаниях, предусмотренных ст. 6 Закона, в том числе в целях исполнения договора.

6.2. Способы обработки: автоматизированная и неавтоматизированная — сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

6.3. Сбор: через формы на Сайте, приложение Оператора, электронную почту, телефон, при заключении договора.

6.4. Хранение и локализация: при первичном сборе персональных данных граждан РФ запись, систематизация, накопление, хранение, уточнение и извлечение осуществляются с использованием баз данных, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона о персональных данных.

6.5. Сроки хранения: персональные данные хранятся не дольше, чем этого требуют цели обработки, но не более 5 лет после прекращения договорных отношений, если иное не предусмотрено законодательством (налоговый учёт — в соответствии со сроками, установленными НК РФ).

6.6. Передача третьим лицам: только с согласия субъекта или по основаниям, предусмотренным Законом (требование уполномоченных органов, исполнение договора). При привлечении субподрядчиков к обработке данных заключается поручение на обработку с указанием перечня данных, целей, обязанности соблюдать конфиденциальность и обеспечивать безопасность в соответствии с ч. 3 ст. 6 Закона.

6.7. Трансграничная передача: не осуществляется.

6.8. Уничтожение: по достижении целей обработки, при отзыве согласия (при отсутствии иных оснований для обработки) или по истечении срока хранения персональные данные подлежат уничтожению в срок, не превышающий 30 дней. Уничтожение осуществляется способом, исключающим дальнейшую обработку, с составлением акта уничтожения.

В соответствии со ст. 19 Закона о персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий:

• назначено лицо, ответственное за организацию обработки персональных данных;
• утверждены внутренние регламенты и инструкции по обработке персональных данных;
• применяются средства антивирусной защиты, межсетевого экранирования, шифрования каналов передачи данных;
• обеспечен контроль доступа — доступ к персональным данным имеют только уполномоченные лица;
• осуществляется регулярный внутренний контроль и аудит соответствия обработки требованиям Закона (п. 4 ч. 1 ст. 18.1);
• проводится оценка вреда, который может быть причинён субъектам в случае нарушения Закона (п. 5 ч. 1 ст. 18.1).

Особое внимание уделяется конфиденциальности информации, получаемой при проведении аудита безопасности (заключаются отдельные соглашения о неразглашении).

8.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов, Оператор в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте и предпринимаемых мерах по устранению последствий, в соответствии с ч. 3.1 ст. 21 Закона о персональных данных.

8.2. В течение 72 часов с момента обнаружения инцидента Оператор направляет в Роскомнадзор уведомление о результатах внутреннего расследования, включая сведения о лицах, действия которых стали причиной инцидента (при наличии).

В соответствии со ст. 14–17 Закона о персональных данных субъект вправе:

• получать информацию, касающуюся обработки его персональных данных (в объёме, указанном в ч. 7 ст. 14 Закона);
• требовать уточнения своих персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели;
• отозвать ранее данное согласие на обработку в любое время путём направления письменного уведомления Оператору;
• требовать от Оператора прекращения обработки данных в целях продвижения товаров, работ, услуг;
• обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.

10.1. На Сайте используются технические (необходимые для функционирования), аналитические (Яндекс.Метрика и др.) и функциональные cookie-файлы.

10.2. При первом посещении Сайта у Пользователя запрашивается отдельное согласие на использование cookie. Пользователь может отключить cookie в настройках браузера, что может ограничить функциональность Сайта.

10.3. Данные, собранные посредством cookie, используются в целях, указанных в п. 4.6 настоящей Политики, и не передаются третьим лицам, за исключением поставщиков аналитических систем, в обезличенном виде.

11.1. Оператор не принимает решений, порождающих юридические последствия для субъекта или иным образом затрагивающих его права, на основании исключительно автоматизированной обработки персональных данных (ст. 16 Закона о персональных данных).

11.2. Результаты автоматического аудита устройств через приложение Оператора носят информационно-рекомендательный характер и не влекут юридических последствий для Пользователя.

12.1. Оператор вправе вносить изменения в настоящую Политику. При внесении существенных изменений Оператор уведомляет Пользователей путём размещения актуальной редакции на Сайте с указанием даты последнего обновления.

12.2. Новая редакция вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией.

12.3. Пользователю рекомендуется регулярно проверять актуальную редакцию Политики. Продолжение использования Сайта и приложения после внесения изменений означает согласие с новой редакцией.