Политика конфиденциальности и обработки персональных данных

1. Общие положения

1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») разработана Акционерным обществом «Для безопасности» (далее — «Оператор», «Лицензиар») в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных») и иными нормативными правовыми актами Российской Федерации в области обработки персональных данных.

1.2. Политика определяет принципы, цели, условия и способы обработки Оператором персональных данных, права субъектов персональных данных и реализуемые Оператором меры защиты персональных данных при предоставлении сервиса кибербезопасности 4sec (далее — «Сервис»).

1.3. Политика является публичным документом и постоянно доступна по адресу https://4security.ru/legal/privacy/. Действующая редакция Политики размещается на Сайте Оператора.

1.4. Политика является неотъемлемой частью Договора-оферты на оказание услуг сервиса кибербезопасности 4sec, размещённого на Сайте по адресу https://4security.ru/legal/oferta/ (далее — «Оферта», «Договор»). Термины, употребляемые в Политике с заглавной буквы и не определённые в её тексте, имеют значения, определённые в Оферте.

1.5. Использование Сайта и (или) Сервиса означает согласие Пользователя с настоящей Политикой в части, применимой к такому Пользователю.

2. Термины и определения

Оператор — Акционерное общество «Для безопасности», ИНН 9723251838, адрес: г. Москва, ул. Чагинская, д. 4, стр. 13, пом. 29/2.

Сайт — официальный сайт Сервиса по адресу https://4security.ru/.

Сервис — облачный сервис кибербезопасности 4sec, предоставляемый Оператором на условиях Оферты.

Клиент — юридическое лицо или индивидуальный предприниматель, заключивший с Оператором Договор.

Пользователь — физическое лицо, использующее Сайт или Личный кабинет, в том числе представитель Клиента и сотрудник Клиента, а также иное физическое лицо, обратившееся к Оператору.

Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Обработка персональных данных — любое действие или совокупность действий с персональными данными, перечисленных в пункте 3 статьи 3 Закона о персональных данных.

Личный кабинет — защищённая веб-страница в составе Сервиса, доступ к которой осуществляется по логину и паролю Клиента.

Контент Клиента — данные, передаваемые Клиентом в Сервис в связи с пользованием им Сервиса, в том числе резервные копии, файлы и иные сведения, которые могут содержать персональные данные третьих лиц.

Подобработчик — третье лицо, привлекаемое Оператором для обработки персональных данных в составе Контента Клиента в целях оказания Сервиса.

Cookies — небольшие текстовые файлы, размещаемые Сайтом на устройстве Пользователя для целей идентификации сессии, аналитики и функционирования Сайта.

3. Категории субъектов персональных данных и состав обрабатываемых данных

3.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

3.1.1. Представители Клиента и Пользователи Сайта.

Состав обрабатываемых данных:

фамилия, имя, отчество;

должность и наименование организации;

адрес электронной почты, номер телефона;

данные авторизации (логин, хэш пароля, идентификаторы сессии);

IP-адрес, данные браузера и устройства, идентификаторы Cookies;

статистические данные о посещениях Сайта и действиях в Личном кабинете.

3.1.2. Субъекты, чьи персональные данные содержатся в Контенте Клиента.

Состав таких персональных данных определяется Клиентом самостоятельно. Оператор обрабатывает указанные данные исключительно по поручению Клиента в порядке раздела 8 настоящей Политики и не контролирует их состав. Клиент несёт ответственность за наличие правовых оснований для передачи Оператору персональных данных третьих лиц в составе Контента Клиента.

3.2. Оператор не обрабатывает целенаправленно специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь) и биометрические персональные данные. Если такие данные содержатся в Контенте Клиента, Клиент несёт полную ответственность за наличие правовых оснований их обработки в соответствии со статьями 10 и 11 Закона о персональных данных.

4. Правовые основания обработки персональных данных

4.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

Закон о персональных данных и иные нормативные правовые акты Российской Федерации;

согласие субъекта персональных данных на обработку (пункт 1 части 1 статьи 6 Закона о персональных данных) — выраженное путём регистрации в Личном кабинете и (или) направления данных через формы Сайта;

необходимость исполнения договора, стороной которого является субъект персональных данных (пункт 5 части 1 статьи 6 Закона о персональных данных);

необходимость осуществления прав и законных интересов Оператора или третьих лиц при условии отсутствия нарушения прав и свобод субъекта (пункт 7 части 1 статьи 6 Закона о персональных данных);

необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации.

4.2. В отношении Контента Клиента, содержащего персональные данные третьих лиц, правовым основанием обработки является поручение Клиента в соответствии с частью 3 статьи 6 Закона о персональных данных (раздел 8 настоящей Политики).

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные в следующих целях:

заключение и исполнение Договора с Клиентом;

идентификация и аутентификация Пользователей в Личном кабинете;

оказание услуг Сервиса (контроль безопасности, уведомления о Уязвимостях, резервное копирование, Восстановление, иные услуги, предусмотренные выбранным Тарифом);

организация расчётов с Клиентом, выставление счетов, формирование актов и иных бухгалтерских документов;

информирование Пользователей о состоянии Сервиса, инцидентах, плановых работах, изменениях условий обслуживания;

рассмотрение обращений Пользователей и переписка с ними;

обеспечение страхования информационных рисков по Договору страхования и оформление страховых выплат;

аналитика работы Сервиса и его совершенствование (на обезличенных или статистических данных);

выполнение требований законодательства Российской Федерации.

6. Принципы и условия обработки персональных данных

6.1. Обработка персональных данных Оператором осуществляется на основе следующих принципов:

законность и справедливость целей и способов обработки;

ограничение обработки достижением конкретных, заранее определённых и законных целей;

соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

точность персональных данных, их достаточность и актуальность по отношению к целям обработки;

хранение персональных данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки;

уничтожение или обезличивание персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении.

6.2. Оператор не объединяет базы персональных данных, обработка которых осуществляется в целях, несовместимых между собой.

7. Порядок обработки персональных данных

7.1. Сбор персональных данных Оператором осуществляется:

при регистрации Пользователя на Сайте и создании Личного кабинета;

при оформлении Подписки и оплате Тарифа;

при заполнении форм обратной связи и направлении обращений на Сайте;

при загрузке Клиентом Контента Клиента в Сервис;

при посещении Сайта (пассивный сбор Cookies и аналогичных данных).

7.2. Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются Оператором с использованием баз данных, расположенных на территории Российской Федерации (часть 5 статьи 18 Закона о персональных данных).

7.3. Оператор не передаёт персональные данные в иностранные государства, не обеспечивающие адекватной защиты прав субъектов персональных данных.

7.4. Оператор не принимает в отношении Пользователей решений, порождающих юридические последствия или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

7.5. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования.

8. Обработка персональных данных по поручению Клиента

8.1. Если Клиент в составе Контента Клиента передаёт в Сервис персональные данные третьих лиц (в том числе резервные копии баз данных, файлов с персональными данными сотрудников, контрагентов или клиентов Клиента), Клиент выступает оператором таких персональных данных, а Оператор — лицом, осуществляющим обработку по поручению Клиента в соответствии с частью 3 статьи 6 Закона о персональных данных.

8.2. Заключение Клиентом Договора означает одновременно поручение Клиента Оператору на обработку персональных данных в составе Контента Клиента в целях оказания услуг Сервиса.

8.3. Поручение Клиента распространяется на следующие действия с персональными данными:

сбор, запись, систематизация, накопление;

хранение, уточнение (обновление, изменение), извлечение, использование;

передача (предоставление, доступ) Подобработчикам, указанным в пункте 8.5 настоящей Политики;

блокирование, удаление, уничтожение.

8.4. Оператор не обрабатывает Контент Клиента в собственных целях, не передаёт его третьим лицам сверх Подобработчиков, указанных в пункте 8.5 настоящей Политики, и не использует Контент Клиента в маркетинговых, аналитических или иных целях, не связанных с исполнением Договора.

8.5. Оператор вправе привлекать к обработке персональных данных в составе Контента Клиента следующих Подобработчиков, отвечая за их действия как за свои собственные:

ООО «Яндекс.Облако» (ОГРН 1187746678580) — для размещения Контента в облачной инфраструктуре Сервиса;

ООО «МОНТ» (ИНН 7703313144) - для размещения Резервных копий в облачной инфраструктуре Сервиса;

СПАО «Ингосстрах» — при наступлении страхового случая по Генеральному договору страхования информационных рисков № 434-005220, для целей оформления и осуществления страховых выплат;

иные лица — при условии обеспечения уровня защиты персональных данных, не уступающего установленному настоящей Политикой, и предварительного уведомления Клиента через Личный кабинет.

8.6. Оператор обеспечивает применение мер по защите персональных данных в составе Контента Клиента в соответствии со статьями 18.1 и 19 Закона о персональных данных.

8.7. Клиент гарантирует, что:

передача Оператору персональных данных в составе Контента Клиента осуществляется на законных основаниях;

получены все необходимые согласия субъектов персональных данных или имеются иные правовые основания обработки в соответствии со статьями 6, 9, 10, 11 Закона о персональных данных;

объём, состав и содержание Контента Клиента соответствуют целям обработки и не являются избыточными.

8.8. Клиент несёт ответственность за состав Контента Клиента и за соответствие его обработки требованиям законодательства Российской Федерации. Оператор не контролирует состав Контента Клиента и не отвечает перед субъектами персональных данных за решение Клиента о передаче их данных в Сервис.

8.9. По запросу Клиента, направленному через Личный кабинет или по адресу электронной почты Оператора, Оператор предоставляет документы, подтверждающие применение мер по защите персональных данных при их обработке по поручению Клиента.

8.10. Уничтожение персональных данных, обрабатываемых Оператором по поручению Клиента, производится:

по запросу Клиента, направленному через Личный кабинет или по электронной почте Оператора;

при прекращении Договора — в порядке пункта 13.4 Оферты;

по требованию уполномоченного государственного органа в области защиты прав субъектов персональных данных, с уведомлением Клиента;

в иных случаях, предусмотренных законодательством Российской Федерации.

9. Передача персональных данных третьим лицам

9.1. Оператор не передаёт персональные данные третьим лицам, кроме случаев, прямо предусмотренных настоящей Политикой и законодательством Российской Федерации.

9.2. Оператор передаёт персональные данные:

Подобработчикам — в целях исполнения Договора в порядке раздела 8 настоящей Политики;

СПАО «Ингосстрах» — при наступлении страхового случая по Договору страхования (раздел 9 Оферты), в объёме, необходимом для оформления и осуществления страховых выплат;

третьим лицам — на основании письменного запроса Клиента или иного волеизъявления Клиента, выраженного через Личный кабинет;

государственным органам и должностным лицам — на основании запросов и требований, оформленных в порядке, предусмотренном законодательством Российской Федерации.

9.3. При передаче персональных данных третьим лицам Оператор обеспечивает соблюдение режима конфиденциальности и применение мер по защите данных.

10. Меры по обеспечению безопасности персональных данных

10.1. Оператор принимает технические, организационные и правовые меры, необходимые и достаточные для обеспечения безопасности персональных данных, в том числе:

назначение лица, ответственного за организацию обработки персональных данных;

издание локальных актов по вопросам обработки персональных данных;

ограничение доступа к персональным данным сотрудников Оператора на основании ролевой модели и принципа минимально необходимых прав;

применение средств защиты информации, прошедших оценку соответствия в установленном законодательством порядке;

регулярное резервное копирование и контроль целостности данных;

учёт носителей персональных данных и контроль их использования;

мониторинг событий информационной безопасности и реагирование на инциденты;

обучение работников Оператора требованиям законодательства о персональных данных и внутренних политик безопасности.

10.2. Оператор использует инфраструктуру партнёра — ООО «Яндекс.Облако», обеспечивающую первый уровень защищённости персональных данных при их обработке в информационных системах персональных данных в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

10.3. В случае выявления подтверждённого факта несанкционированного доступа к персональным данным, обрабатываемым Оператором по поручению Клиента, Оператор уведомляет Клиента по адресу электронной почты, указанному при регистрации, в течение 48 (сорока восьми) часов с момента выявления и предоставляет необходимую информацию и поддержку для исполнения Клиентом его обязанностей в соответствии с законодательством. Такое уведомление не является признанием ответственности Оператора за факт несанкционированного доступа.

11. Сроки обработки и хранения персональных данных

11.1. Персональные данные представителей Клиента и Пользователей обрабатываются в течение срока действия Договора и в течение 3 (трёх) лет после его прекращения, если иной срок не установлен законодательством Российской Федерации или соглашением Сторон.

11.2. Контент Клиента, содержащий персональные данные третьих лиц, хранится в Сервисе в течение срока действия Договора и в течение 30 (тридцати) календарных дней после его прекращения в порядке пункта 13.4 Оферты. По истечении указанного срока Контент Клиента и Резервные копии удаляются Оператором.

11.3. Персональные данные, обработка которых необходима для исполнения требований законодательства Российской Федерации (в том числе бухгалтерские и налоговые документы), хранятся в течение сроков, установленных применимыми нормативными правовыми актами.

11.4. Уничтожение персональных данных производится способом, исключающим возможность их восстановления.

12. Права субъектов персональных данных

12.1. Субъект персональных данных имеет право:

получать информацию об обработке его персональных данных Оператором, предусмотренную частью 7 статьи 14 Закона о персональных данных;

требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными по отношению к целям обработки;

отозвать согласие на обработку персональных данных;

обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.

12.2. Запросы субъектов персональных данных рассматриваются Оператором в срок не более 30 (тридцати) календарных дней с момента поступления запроса, содержащего сведения, предусмотренные частью 3 статьи 14 Закона о персональных данных.

12.3. Запросы направляются одним из следующих способов:

через Личный кабинет (для зарегистрированных Пользователей);

по адресу электронной почты Оператора: legal@4security.ru;

почтовым отправлением по адресу Оператора: г. Москва, ул. Чагинская, д. 4, стр. 13, пом. 29/2.

12.4. Если запрос не содержит достаточной информации для идентификации субъекта персональных данных или для понимания существа требования, Оператор вправе запросить дополнительные сведения. Срок рассмотрения запроса в этом случае исчисляется с момента получения Оператором необходимых дополнительных сведений.

12.5. Если персональные данные обрабатываются Оператором по поручению Клиента (раздел 8 настоящей Политики), запрос субъекта персональных данных передаётся Оператором соответствующему Клиенту для рассмотрения по существу.

13. Cookies и аналитические сервисы

13.1. Сайт использует Cookies и аналогичные технологии для:

идентификации сессий Пользователей и обеспечения работы Личного кабинета;

сохранения пользовательских настроек;

сбора статистики посещений и действий Пользователей на Сайте.

13.2. Оператор использует сторонний аналитический сервис «Яндекс.Метрика» (оператор — ООО «ЯНДЕКС», ИНН 7736207543) для сбора обезличенной статистики посещений Сайта. Условия обработки данных «Яндекс.Метрикой» определяются политикой её оператора.

13.3. Пользователь вправе запретить использование Cookies через настройки своего браузера. При отключении Cookies часть функций Сайта и Сервиса может стать недоступной.

14. Изменения Политики

14.1. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. Действующая редакция Политики размещается на Сайте.

14.2. Изменения Политики вступают в силу с даты размещения новой редакции на Сайте, если иной срок не указан при размещении.

14.3. Оператор уведомляет Клиентов о существенных изменениях Политики через Личный кабинет либо по электронной почте Клиента.

14.4. Если Клиент не согласен с изменениями Политики, Клиент вправе отказаться от Договора в порядке, установленном разделом 13 Оферты.

15. Контактная информация Оператора

Полное наименование: Акционерное общество «Для безопасности».

Сокращённое наименование: АО «Для безопасности».

ИНН: 9723251838.

Адрес: г. Москва, ул. Чагинская, д. 4, стр. 13, пом. 29/2.

Адрес электронной почты для обращений по вопросам обработки персональных данных: legal@4security.ru.

Адрес общей электронной почты: info@4security.ru.

Сайт: https://4security.ru/.

Утверждена приказом Генерального директора АО «Для безопасности» от «___» _____________ 2026 г.

Действующая редакция Политики постоянно доступна по адресу https://4security.ru/legal/privacy/.