1Оператор персональных данных

1.1. Оператором персональных данных является:

1.2. Настоящая Политика применяется ко всем персональным данным, которые Оператор получает от пользователей сайта su-ab.com, лиц, заполняющих веб-формы на сайте, обращающихся по телефону, через мессенджеры, e-mail, а также при использовании CRM-системы на базе «1С-Битрикс24».

1.3. Используя сайт su-ab.com, направляя Оператору свои данные и/или устанавливая отметку о согласии с условиями обработки персональных данных в формах на сайте, пользователь подтверждает, что ознакомился с настоящей Политикой и принимает её условия.

2Состав обрабатываемых персональных данных

2.1. В рамках использования сайта и взаимодействия с Оператором могут обрабатываться следующие категории персональных данных:

• фамилия, имя, отчество (при наличии);
• контактный телефон;
• адрес электронной почты (e-mail);
• наименование организации, должность, сайт компании (при наличии);
• регион/город и иные сведения, указанные пользователем в тексте сообщений или полях формы;
• данные о посещении сайта (IP-адрес, сведения о браузере, устройстве, файлы cookie, реферер, время доступа);
• иные сведения, которые пользователь добровольно сообщает Оператору.

2.2. Оператор не запрашивает и не стремится обрабатывать специальные категории персональных данных (о здоровье, политических взглядах, религиозных убеждениях и т.п.), а также биометрические персональные данные через сайт su-ab.com. Если такие данные передаются пользователем по собственной инициативе, Оператор обрабатывает их только в объёме, необходимом для целей обращения и в рамках закона.

3Цели обработки персональных данных

3.1. Персональные данные пользователей и клиентов могут обрабатываться Оператором в следующих целях:

• обработка заявок и обращений, отправленных через формы на сайте su-ab.com, по телефону, e-mail и в мессенджерах;
• предоставление консультаций по продуктам и услугам Оператора, в том числе по решениям на базе Битрикс24;
• подготовка и направление коммерческих предложений, договоров, счетов и иных документов;
• организация обратной связи (звонки, переписка, онлайн-встречи) и ведение деловой переписки;
• заключение, исполнение, изменение и прекращение договоров с клиентами;
• ведение клиентской базы и истории взаимодействий в CRM-системе Оператора;
• улучшение работы сайта, анализ трафика, удобства интерфейса, эффективности рекламных кампаний;
• исполнение требований законодательства Российской Федерации.

3.2. Направление пользователю информационных и рекламных материалов (рассылки о новостях, мероприятиях, акциях, спецпредложениях) осуществляется только при наличии отдельного согласия на получение таких материалов (отмечается в форме отдельной галочкой или иным предусмотренным способом).

4Правовые основания обработки

4.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

• согласие субъекта персональных данных на обработку его персональных данных (ст. 6, 9 Федерального закона № 152‑ФЗ);
• необходимость заключения и исполнения договора, стороной или выгодоприобретателем по которому является субъект персональных данных;
• необходимость исполнения обязанностей, возложенных на Оператора законодательством РФ;
• осуществление прав и законных интересов Оператора или третьих лиц при условии, что это не нарушает права и свободы субъекта персональных данных.

4.2. Для отдельных категорий персональных данных и отдельных целей обработки Оператор запрашивает отдельные согласия (например, согласие на обработку ПДн и отдельное согласие на получение рекламных материалов), оформляемые в соответствии с действующей редакцией 152‑ФЗ и рекомендациями Роскомнадзора.

4.3. Согласие субъекта персональных данных оформляется как отдельный документ и не может быть включено в состав иных документов (договоров, пользовательских соглашений и т.п.). Предварительно заполненные формы согласия (с проставленными галочками) не допускаются.

5Действия с персональными данными и способы обработки

5.1. В рамках достижения указанных целей Оператор может осуществлять в отношении персональных данных следующие действия (операции): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) в случаях, предусмотренных законодательством РФ или договором с субъектом, блокирование, удаление, уничтожение.

5.2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования (на бумажных и иных носителях), в том числе в информационных системах персональных данных Оператора.

6Использование CRM-системы и поручение обработки третьим лицам

6.1. Для ведения учёта заявок, клиентов и истории взаимодействий Оператор использует программный продукт «1С-Битрикс24» (CRM-система).

6.2. В связи с этим Оператор вправе поручить обработку персональных данных следующим лицам:

• ООО «1С-Битрикс» (ОГРН 5077746476209, адрес: 109544, г. Москва, б-р Энтузиастов, д. 2, эт. 13, пом. 8–19) — в части предоставления и обслуживания CRM-системы «1С-Битрикс24»;
• иным подрядчикам и сервисам (хостинг, сервисы рассылок, телефония и т.п.), с которыми у Оператора заключены договоры и которые обеспечивают конфиденциальность и безопасность персональных данных.

6.3. Поручение обработки персональных данных третьим лицам осуществляется на основании договоров, предусматривающих обязанность таких лиц соблюдать требования законодательства РФ о персональных данных, обеспечивать конфиденциальность и безопасность данных.

6.4. Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона № 152‑ФЗ.

7Трансграничная передача персональных данных

7.1. Оператор не осуществляет трансграничную передачу персональных данных (передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу).

7.2. Все информационные системы и базы данных, используемые Оператором для обработки персональных данных, размещены на территории Российской Федерации.

8Сроки хранения персональных данных

8.1. Персональные данные хранятся Оператором в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если более длительный срок хранения не предусмотрен законодательством РФ.

8.2. Оператор применяет следующие ориентировочные сроки хранения:

• данные по заявкам и обращениям, не завершившимся заключением договора, — 1 год с момента последнего контакта;
• данные клиентов в рамках договорных отношений — срок действия договора + 5 лет (с учётом требований бухгалтерского и налогового законодательства);
• данные аналитики и файлы cookie — 1 год;
• записи в журнале обращений субъектов ПДн — 3 года.

8.3. По достижении целей обработки или при утрате необходимости в их достижении, а также при отзыве согласия (если отсутствуют иные законные основания обработки), персональные данные подлежат уничтожению либо обезличиванию в срок, не превышающий 30 (тридцать) рабочих дней.

9Права субъектов персональных данных

9.1. Субъект персональных данных имеет право:

• получать информацию о наличии у Оператора своих персональных данных, о целях, правовых основаниях и способах обработки, сроках хранения;
• требовать уточнения своих персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных;
• отказаться от получения информационных и рекламных материалов;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.

9.2. Для реализации своих прав субъект персональных данных может направить обращение на электронный адрес: bitrix@gsuab.com либо по почтовому адресу, указанному в разделе 1 настоящей Политики.

9.3. Оператор ведёт журнал обращений субъектов персональных данных, в котором фиксируются запросы на доступ, уточнение, блокирование, удаление и уничтожение персональных данных. Срок хранения записей журнала — 3 (три) года.

9.4. Оператор обязан рассмотреть обращение субъекта и дать мотивированный ответ в срок, не превышающий 10 (десять) рабочих дней с даты получения обращения.

10Отзыв согласия на обработку персональных данных

10.1. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент.

10.2. Для отзыва согласия субъект персональных данных направляет уведомление:

• на электронный адрес Оператора: bitrix@gsuab.com; или
• почтовым отправлением по адресу: г. Москва, ул. Большая Почтовая, д. 36, стр. 9.

10.3. Отзыв согласия не влияет на законность обработки персональных данных, осуществлённой до момента получения Оператором такого отзыва.

10.4. В случае отзыва согласия Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных 152‑ФЗ (например, для исполнения договора, требований закона, ведения бухгалтерского и налогового учёта).

11Меры по защите персональных данных

11.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

11.2. В числе таких мер — использование средств защиты информации, ограничение доступа к персональным данным, назначение ответственных лиц, внутренние регламенты по работе с персональными данными, обучение сотрудников.

11.3. В случае выявления инцидента, повлёкшего неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, Оператор обязуется:

• уведомить Роскомнадзор о факте инцидента в течение 24 часов с момента его обнаружения;
• провести внутреннее расследование и уведомить Роскомнадзор о его результатах в течение 72 часов с момента обнаружения инцидента.

12Файлы cookie и аналитические сервисы

12.1. Сайт su-ab.com использует файлы cookie и иные технические средства (пиксели, счётчики, аналитические сервисы), позволяющие получать обезличенную статистическую информацию о посещениях сайта и поведении пользователей.

12.2. На сайте используются следующие аналитические сервисы:

• Яндекс.Метрика (ООО «Яндекс», Россия) — веб-аналитика, оценка трафика и поведения пользователей;
• Top.Mail.Ru (ООО «ВК», Россия) — счётчик посещений и статистика.

12.3. Указанные сервисы могут собирать и обрабатывать обезличенные данные о действиях пользователя на сайте (просмотренные страницы, время на сайте, клики, источник перехода и т.п.). Сбор таких данных осуществляется в соответствии с политиками конфиденциальности соответствующих сервисов.

12.4. Пользователь может ограничить или запретить использование cookie в настройках браузера. В этом случае некоторые функции сайта могут работать некорректно.

13Изменение Политики

13.1. Оператор оставляет за собой право вносить изменения в настоящую Политику в случае изменения законодательства, внутренней организации обработки персональных данных или по иным объективным причинам.

13.2. Актуальная редакция Политики всегда доступна на сайте su-ab.com/company/personal-data-policy/.

13.3. Продолжение использования сайта su-ab.com после внесения изменений в Политику означает согласие пользователя с такими изменениями.

14Контакты по вопросам персональных данных

По всем вопросам, связанным с обработкой и защитой персональных данных, пользователь может обратиться к Оператору: