Политика CyberBrain в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая политика обработки персональных данных (далее — Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), а также иных нормативных правовых актов Российской Федерации в области персональных данных и определяет порядок обработки персональных данных и меры по их защите, реализуемые CyberBrain (далее — Оператор).

1.2. Оператор ставит своей важнейшей целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая Политика применяется ко всей информации о Пользователях, которую Оператор может получить, в том числе:

• при использовании веб-сайта Оператора в сети Интернет по адресу: https://cybrain.io/ (далее — Веб-сайт);
  
• при обращении Пользователей по контактам, размещённым на Веб-сайте;
  
• при участии в маркетинговых активностях Оператора (заявки на демо, вебинары, рассылки и т. п.).

1.4. Оператор обеспечивает первичный сбор, запись, систематизацию и хранение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, а последующую передачу (в том числе трансграничную) осуществляет в соответствии с требованиями законодательства РФ.

1.5. Настоящая Политика является общедоступным документом. Оператор публикует её на Веб-сайте и обеспечивает неограниченный доступ к ней.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по адресу https://cybrain.io/.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор — CyberBrain (сведения о юридическом лице, включая организационно-правовую форму, ОГРН, ИНН, место нахождения, размещаются на Веб-сайте), самостоятельно или совместно с другими лицами организующий и/или осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому Пользователю Веб-сайта или иному субъекту персональных данных.

2.9. Персональные данные, разрешённые субъектом персональных данных для распространения — персональные данные, к которым субъект персональных данных предоставил доступ неограниченному кругу лиц путём дачи отдельного согласия в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешённые для распространения).

2.10. Пользователь — любой посетитель Веб-сайта, а также лицо, направившее Оператору персональные данные посредством форм на Веб-сайте, электронной почты, мессенджеров либо иным способом.

2.11. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

2.12. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц или на ознакомление с персональными данными неограниченного круга лиц.

2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

2.14. Уничтожение персональных данных — действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления их содержания в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.

2.15. Файлы cookie и иные идентификаторы — фрагменты данных и технические идентификаторы (cookie, идентификаторы устройств, пиксели, тег, IP-адрес и т. п.), которые могут использоваться для идентификации браузера, устройства и/или Пользователя, формирования статистики использования Веб-сайта и персонализации контента. В случаях, когда такие данные позволяют прямо или косвенно идентифицировать Пользователя, они рассматриваются Оператором как персональные данные.

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:

3.1.1. Получать от субъектов персональных данных достоверную информацию и/или документы, содержащие персональные данные.

3.1.2. Продолжать обработку персональных данных в случаях и на основаниях, предусмотренных законодательством РФ, при отзыве субъектом персональных данных согласия на обработку, если наличие такого согласия не является единственным основанием обработки.

3.1.3. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными актами, если иное не предусмотрено законодательством РФ.

3.2. Оператор обязан:

3.2.1. Обрабатывать персональные данные в соответствии с законодательством РФ, честно и разумно.

3.2.2. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, в порядке и сроки, предусмотренные Законом о персональных данных (как правило, в течение десяти рабочих дней с момента получения запроса, с возможностью продления ещё на пять рабочих дней при направлении мотивированного уведомления).

3.2.3. Организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных, принимать правовые, организационные и технические меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий.

3.2.4. Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по его запросу необходимую информацию в срок, не превышающий 30 дней с момента получения такого запроса, если иной срок не установлен законом.

3.2.5. Вести учёт обращений субъектов персональных данных и уполномоченного органа, а также принятых по таким обращениям решений.

3.2.6. Публиковать настоящую Политику и обеспечивать неограниченный доступ к сведениям о реализуемых требованиях к защите персональных данных.

3.2.7. Прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в случаях и сроки, предусмотренные Законом о персональных данных.

3.2.8. Обеспечивать оформление согласий субъектов персональных данных на обработку их персональных данных, в том числе на обработку персональных данных, разрешённых для распространения, в отдельном документе (включая электронный документ, если это допускается законом) и в соответствии с требованиями действующей редакции Закона о персональных данных.

4. Основные права и обязанности субъектов персональных данных

4.1. Субъект персональных данных имеет право:

4.1.1. Получать информацию, касающуюся обработки его персональных данных, включая сведения, предусмотренные ст. 14 Закона о персональных данных, за исключением случаев, предусмотренных федеральными законами.

4.1.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.1.3. Выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг, а также при осуществлении политической агитации.

4.1.4. Отозвать согласие на обработку персональных данных в порядке, предусмотренном законодательством РФ и настоящей Политикой.

4.1.5. Требовать прекращения обработки персональных данных в случаях, предусмотренных законом.

4.1.6. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

4.1.7. Осуществлять иные права, предусмотренные законодательством РФ.

4.2. Субъект персональных данных обязан:

4.2.1. Предоставлять Оператору достоверные данные о себе, в объёме, необходимом для достижения целей обработки.

4.2.2. Информировать Оператора об уточнении (обновлении, изменении) своих персональных данных.

4.3. Лица, предоставившие Оператору недостоверные сведения о себе или сведения о другом субъекте персональных данных без его согласия, несут ответственность в соответствии с законодательством РФ.

5. Принципы обработки персональных данных

5.1. Обработка персональных данных осуществляется на законной и справедливой основе.

5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.

5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

5.4. Обработке подлежат только те персональные данные, которые отвечают заявленным целям обработки.

5.5. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность персональных данных по отношению к заявленным целям.

5.6. При обработке персональных данных обеспечиваются их точность, достаточность и, при необходимости, актуальность по отношению к целям обработки. Оператор принимает меры по удалению или уточнению неполных или неточных данных.

5.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если более длительный срок хранения не установлен федеральным законом или договором. По достижении целей обработки или при утрате необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию в установленные законом сроки.

6. Цели обработки персональных данных и состав обрабатываемых данных

6.1. Оператор обрабатывает персональные данные Пользователей в следующих целях:

6.1.1. Обработка обращений и запросов Пользователей, направление ответов, деловая переписка.
6.1.2. Заключение, исполнение, изменение и прекращение гражданско-правовых договоров с Пользователями и/или организациями, которые они представляют.
6.1.3. Предоставление доступа к функционалу Веб-сайта, продуктам и сервисам Оператора, включая демо-доступ, тестовые периоды и настройку интеграций.
6.1.4. Направление Пользователям уведомлений о продуктах и сервисах Оператора, новостных и аналитических материалов, приглашений на мероприятия, при наличии соответствующего согласия (если такое согласие требуется по закону).
6.1.5. Улучшение качества Веб-сайта, продуктов и сервисов, анализ поведения Пользователей (в том числе с использованием файлов cookie и сервисов веб-аналитики).
6.1.6. Исполнение требований законодательства РФ, в том числе в части бухгалтерского, налогового и иного обязательного учёта.

6.2. В рамках указанных целей Оператор может обрабатывать следующие категории персональных данных Пользователя (в объёме, необходимом и достаточном для достижения целей):
6.2.1. Идентификационные данные: фамилия, имя, отчество (при наличии), должность, наименование и реквизиты представляемой организации.
6.2.2. Контактные данные: адрес электронной почты, номера телефонов, ссылки на аккаунты в мессенджерах/соцсетях (если указаны Пользователем).
6.2.3. Данные о взаимодействии с Оператором: сведения об обращениях, запросах, истории взаимодействий, записях о демонстрациях продукта, переписке.
6.2.4. Данные об использовании Веб-сайта и сервисов: IP-адрес, сведения о браузере, устройстве, операционной системе, регионе, cookie-файлы, идентификаторы пикселей и т. п., а также сводная статистика по действиям Пользователей на Веб-сайте.
6.2.5. Иные данные, которые Пользователь добровольно предоставляет Оператору при заполнении форм на Веб-сайте, заключении договоров, переписке, участии в мероприятиях и т. п., в том числе в виде текстовых комментариев.

6.3. Оператор не осуществляет обработку специальных категорий персональных данных (о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), а также биометрических персональных данных, за исключением случаев, прямо предусмотренных законодательством РФ и при наличии всех необходимых правовых оснований.

6.4. Обработка персональных данных, разрешённых субъектом персональных данных для распространения, осуществляется при наличии отдельно оформленного согласия субъекта персональных данных и с соблюдением запретов и условий, установленных ст. 10.1 Закона о персональных данных. В частности, Оператор обеспечивает возможность определения субъектом перечня персональных данных и перечня действий с ними, которые разрешены для распространения.

7. Правовые основания обработки персональных данных

7.1. Оператор обрабатывает персональные данные на основании:

7.1.1. Закона о персональных данных и иных федеральных законов, регулирующих соответствующие отношения.
7.1.2. Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в части обработки данных, необходимых для функционирования Веб-сайта и сервисов Оператора.
7.1.3. Договоров, заключённых между Оператором и субъектами персональных данных (либо организациями, которые они представляют).
7.1.4. Согласий субъектов персональных данных на обработку их персональных данных (в том числе персональных данных, разрешённых для распространения), оформленных в соответствии с требованиями ст. 9, 10.1 Закона о персональных данных.
7.1.5. Легитимных интересов Оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта персональных данных (например, для защиты прав и законных интересов Оператора, анализа и улучшения продуктов и сервисов и т. п.).

7.2. Факт заполнения Пользователем форм на Веб-сайте и/или направления персональных данных Оператору посредством электронных сообщений, мессенджеров или иным способом рассматривается как выражение согласия с условиями настоящей Политики и, при необходимости, как предоставление согласия на обработку персональных данных, если иное прямо не указано в соответствующей форме или уведомлении.

8. Условия обработки персональных данных

8.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, когда в соответствии с Законом о персональных данных обработка допустима без такого согласия (например, для исполнения договора, исполнения обязанностей Оператора, установленных законом, защиты жизни и здоровья субъекта и т .п.).

8.2. Обработка персональных данных необходима для достижения целей, предусмотренных международными договорами Российской Федерации или законами, для осуществления возложенных на Оператора функций, полномочий и обязанностей.

8.3. Обработка персональных данных может быть необходима для осуществления правосудия, исполнения судебных актов, актов иных органов и должностных лиц.

8.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных.

8.5. Обработка персональных данных может осуществляться для реализации прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что не нарушаются права и свободы субъекта персональных данных.

8.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (общедоступные персональные данные), при соблюдении требований ст. 10.1 Закона о персональных данных.

8.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

9. Порядок сбора, хранения, передачи и других видов обработки персональных данных

9.1. Сбор персональных данных осуществляется, в частности:

• при заполнении Пользователем форм на Веб-сайте;
  
• при направлении запросов и обращений по адресам электронной почты, указанным на Веб-сайте;
  
• при заключении и исполнении договоров;
  
• при использовании Веб-сайта и сервисов Оператора (в том числе с использованием cookie и сервисов веб-аналитики).

9.2. Безопасность персональных данных обеспечивается Оператором путём реализации правовых, организационных и технических мер, необходимых для выполнения требований законодательства РФ в области защиты персональных данных, включая, но не ограничиваясь:

• применение средств защиты информации;
  
• ограничение и учёт доступа к персональным данным;
  
• использование защищённых каналов передачи данных, где это требуется;
  
• обучение сотрудников Оператора требованиям по защите персональных данных;

9.3. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие доступ к ним неуполномоченных лиц.

9.4. Персональные данные Пользователя не передаются третьим лицам, за исключением:

• случаев, когда субъект персональных данных дал согласие на такую передачу;
  
• случаев, когда передача необходима для исполнения договора (например, привлечение подрядчиков, предоставляющих услуги хостинга, связи, почтовой рассылки, аналитики и др., с которыми заключены договоры о конфиденциальности и обработке персональных данных);
  
• случаев, прямо предусмотренных законодательством РФ.

9.5. В случае выявления неточностей в персональных данных Пользователь вправе актуализировать их, направив Оператору уведомление на адрес электронной почты: stats@cybrain.io с пометкой «Актуализация персональных данных».

9.6. Срок обработки персональных данных определяется достижением целей, для которых они были собраны, если иной срок не предусмотрен законом или договором. По достижении целей обработки персональных данных либо при отзыве согласия, если иное не препятствует закону или договору, Оператор прекращает обработку и уничтожает персональные данные в сроки, предусмотренные ст. 21 Закона о персональных данных (как правило, в течение 30 дней с даты достижения цели или получения отзыва, если нет оснований для дальнейшей обработки).

9.7. Пользователь может в любой момент отозвать своё согласие на обработку персональных данных, направив Оператору уведомление на адрес электронной почты: stats@cybrain.io с пометкой «Отзыв согласия на обработку персональных данных». Оператор прекращает обработку персональных данных и уничтожает их в объёме и сроки, установленные Законом о персональных данных.

9.8. Информация, собираемая сторонними сервисами (в том числе сервисами веб-аналитики, средствами связи и иными поставщиками услуг), хранится и обрабатывается соответствующими лицами (операторами) в соответствии с их пользовательскими соглашениями и политиками конфиденциальности. Субъект персональных данных обязан самостоятельно ознакомиться с указанными документами. Оператор не несёт ответственность за действия третьих лиц, которым Персональные данные могут быть переданы на законных основаниях.

9.9. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки персональных данных, разрешённых для распространения, не действуют в случаях, когда обработка осуществляется в государственных, общественных и иных публичных интересах в соответствии с законодательством РФ.

9.10. Оператор осуществляет хранение персональных данных на территории Российской Федерации, за исключением случаев, прямо предусмотренных законодательством РФ и условиями трансграничной передачи, описанными в разделе 11 настоящей Политики.

9.11. Условием прекращения обработки персональных данных может являться достижение целей обработки, истечение срока действия согласия субъекта персональных данных, отзыв согласия, требование о прекращении обработки либо выявление неправомерной обработки персональных данных.

10. Перечень действий, производимых Оператором с персональными данными

10.1. Оператор осуществляет следующие действия (операции) с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (включая предоставление, распространение, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

10.2. Оператор может осуществлять автоматизированную обработку персональных данных с использованием информационно-телекоммуникационных сетей (включая сеть Интернет) или без их использования.

11. Трансграничная передача персональных данных

11.1. До начала осуществления трансграничной передачи персональных данных Оператор в необходимых случаях уведомляет уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять такую передачу в порядке, предусмотренном законодательством РФ (уведомление о трансграничной передаче направляется отдельно либо в составе уведомления об обработке персональных данных).

11.2. Оператор до начала трансграничной передачи персональных данных оценивает обеспечение иностранным государством, на территорию которого предполагается передача, надлежащей защиты прав субъектов персональных данных. При отсутствии достаточного уровня защиты Оператор вправе осуществлять трансграничную передачу только при наличии письменного согласия субъекта персональных данных или при наличии иных оснований, предусмотренных законодательством РФ.

11.3. При осуществлении трансграничной передачи персональных данных Оператор обеспечивает соблюдение требований по локализации персональных данных граждан РФ: первичная обработка (включая сбор, запись, систематизацию и хранение) осуществляется с использованием баз данных, находящихся на территории Российской Федерации, а трансграничная передача допускается после такой первичной обработки и при соблюдении иных условий закона.

12. Конфиденциальность персональных данных

12.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

12.2. Обязанность соблюдать конфиденциальность персональных данных устанавливается для всех работников Оператора, а также для его подрядчиков и партнёров, привлечённых к обработке персональных данных на основании договоров.