Политика обработки персональных данных

1.Оператор персональных данных

Оператором персональных данных является ИП Комиссаров Иван Константинович, ОГРНИП 326547600090771, ИНН 544806946512, г. Москва (далее — Оператор), осуществляющий деятельность по адресу сайта https://syce.ru.

Оператор зарегистрирован в реестре операторов персональных данных Роскомнадзора в соответствии с требованиями ч. 3 ст. 22 152-ФЗ.

По вопросам, связанным с обработкой персональных данных, обращайтесь: info@syce.ru.

2.Область применения

Настоящая Политика применяется ко всем субъектам персональных данных, взаимодействующим с сервисом https://syce.ru:

• —Заказчики (клиенты) — лица, запустившие аудит сайта, оплатившие Услуги или авторизовавшиеся в личном кабинете;
• —Партнёры — лица, зарегистрированные в партнёрской программе;
• —Посетители — лица, просматривающие страницы сайта без регистрации.

Используя сервис, вы подтверждаете, что ознакомились с настоящей Политикой и даёте согласие на обработку персональных данных в указанных целях и объёме.

3.Перечень обрабатываемых персональных данных

3.1. Заказчики

• —Адрес электронной почты (email) — основной идентификатор; используется для magic-link авторизации и уведомлений;
• —Реквизиты компании / ИП — наименование организации или ФИО предпринимателя, ИНН, ОГРН/ОГРНИП, юридический адрес — вводятся Заказчиком добровольно для формирования персонализированного Пакета юридических документов;
• —URL сайта-объекта — доменное имя и URL сайта, переданного на аудит;
• —История платежей — суммы, даты, статусы транзакций;
• —IP-адрес и User-Agent — технические данные устройства и браузера, фиксируемые при каждом запросе;
• —Cookies сессии — токен авторизации в личном кабинете ( syce_client_session).

3.2. Партнёры

• —Все данные из п. 3.1 (кроме реквизитов компании, которые заполняются в настройках кабинета партнёра);
• —Платёжные реквизиты для выплат — ИНН, банковский счёт, наименование банка — вводятся партнёром добровольно для получения комиссионного вознаграждения;
• —Реферальная статистика — количество привлечённых Заказчиков, суммы и история начислений;
• —Cookies сессии партнёра (syce_partner_session).

3.3. Посетители сайта (без регистрации)

• —Email и URL сайта — при запуске бесплатного сканирования на главной странице;
• —IP-адрес — фиксируется техническими средствами сервера;
• —Реферальный cookie (ref) — идентификатор партнёра, сохраняется при переходе по реферальной ссылке на 30 дней.

Сервис не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, здоровье, биометрия) и персональные данные несовершеннолетних.

4.Цели обработки персональных данных

5.Правовые основания обработки

• —Исполнение договора (Публичной оферты) — ст. 6 ч. 1 п. 5 152-ФЗ. Обработка email, реквизитов и платёжных данных необходима для оказания Услуг, выбранных Заказчиком.
• —Согласие субъекта — ст. 6 ч. 1 п. 1 и ст. 9 152-ФЗ. При запуске бесплатного сканирования Заказчик даёт явное согласие на обработку email и URL сайта, отмечая соответствующий чекбокс.
• —Законные интересы Оператора — ст. 6 ч. 1 п. 7 152-ФЗ. Обработка IP-адресов и технических логов в целях обеспечения безопасности и предотвращения несанкционированного доступа.
• —Обязательство по закону — ст. 6 ч. 1 п. 3 152-ФЗ. Хранение данных, связанных с платёжными операциями, в соответствии с 402-ФЗ «О бухгалтерском учёте» и НК РФ.

6.Способы обработки

Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), обезличивание, блокирование, удаление и уничтожение в соответствии с целями, указанными в Разделе 4.

Обработка осуществляется с использованием средств автоматизации. Принятие юридически значимых решений исключительно на основе автоматизированной обработки персональных данных Оператором не производится.

7.Передача персональных данных третьим лицам

Оператор передаёт персональные данные следующим организациям для обеспечения функционирования сервиса:

7.1. ООО НКО «ЮKassa» (yookassa.ru)

Платёжный агрегатор, осуществляет приём и обработку платежей. Передаются: email Заказчика, сумма и параметры платежа. Основание: исполнение договора. Yookassa обрабатывает данные в соответствии с собственной политикой конфиденциальности и требованиями PCI DSS.

7.2. Unisender Go (unisendergo.ru)

Сервис транзакционных email-рассылок. Передаются: email получателя и содержание письма (уведомления о результатах аудита, магических ссылках, платежах). Серверы Unisender расположены на территории Российской Федерации.

7.3. Хостинг-провайдер

Облачная инфраструктура для хранения данных. Серверы расположены на территории Российской Федерации в соответствии с требованиями ч. 5 ст. 18 152-ФЗ (242-ФЗ о локализации персональных данных).

Передача персональных данных третьим лицам в коммерческих, рекламных или иных целях, не связанных с исполнением договора, не осуществляется. Оператор не продаёт и не сдаёт в аренду персональные данные.

8.Трансграничная передача

На дату последней редакции настоящей Политики (см. дату в шапке документа) трансграничная передача персональных данных (на территорию иностранных государств) Оператором не осуществляется. Все данные хранятся и обрабатываются на серверах, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ (242-ФЗ о локализации персональных данных).

На дату последней редакции Сервис не использует Google Analytics, Facebook Pixel (Meta Platforms Inc. признана экстремистской организацией и запрещена в РФ), Hotjar, Mixpanel и иные зарубежные инструменты аналитики, передающие персональные данные за пределы РФ.

В случае изменения инфраструктуры обработки персональных данных, в результате которого возникнет необходимость в трансграничной передаче, Оператор обязуется:

• —направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных не позднее, чем за 10 рабочих дней до её начала (ч. 3 ст. 12 152-ФЗ);
• —опубликовать обновлённую редакцию настоящей Политики с указанием страны получателя, категорий ПДн, целей передачи и правового основания;
• —направить email-уведомление зарегистрированным пользователям о произошедших изменениях и обеспечить возможность отзыва согласия.

9.Cookies и технологии отслеживания

Сайт использует следующие файлы cookie:

Технические cookies необходимы для работы сайта и не могут быть отключены без потери функциональности. Функциональный cookie ref устанавливается только при переходе по реферальной ссылке партнёра.

Сторонние аналитические или рекламные cookies на сайте не используются.

10.Меры по защите персональных данных

Оператор принимает следующие технические и организационные меры защиты персональных данных:

• —передача данных осуществляется исключительно по защищённому протоколу HTTPS (TLS 1.2+);
• —аутентификация реализована через одноразовые ссылки (magic-link) с ограниченным временем действия — без хранения паролей;
• —сессионные токены подписаны криптографическими ключами и хранятся в HttpOnly-cookies (недоступны JavaScript);
• —доступ к персональным данным внутри системы разграничен по ролям (клиент, партнёр, оператор);
• —базы данных не открыты в публичную сеть и защищены средствами сетевой изоляции;
• —сотрудники, имеющие доступ к персональным данным, ознакомлены с требованиями 152-ФЗ и несут ответственность за конфиденциальность.

10.5.Порядок реагирования на инциденты с персональными данными

В соответствии со ст. 21.1 152-ФЗ (в ред. ФЗ-266-ФЗ от 14.07.2022, усилено ФЗ-420-ФЗ от 30.11.2024) при выявлении инцидента, повлёкшего неправомерную или случайную передачу персональных данных, повлёкшую нарушение прав субъектов, Оператор обязан:

• —в течение 24 часов с момента выявления инцидента — направить в Роскомнадзор уведомление через специализированный портал https://pd.rkn.gov.ru/incidents/ с указанием предполагаемых причин, предполагаемого вреда, принятых мер защиты прав субъектов и сведений о лице, уполномоченном на взаимодействие с РКН;
• —в течение 72 часов с момента выявления инцидента — направить в Роскомнадзор результаты внутреннего расследования и сведения о лицах, действия которых стали причиной инцидента (если таковые установлены);
• —незамедлительно уведомить субъектов, чьи персональные данные были затронуты инцидентом (если их идентификация возможна), о факте инцидента и принятых мерах;
• —завести и вести журнал учёта инцидентов с фиксацией: даты и времени выявления, описания инцидента, перечня затронутых ПДн, принятых мер реагирования, результатов взаимодействия с надзорным органом.

Ответственным за реагирование на инциденты с персональными данными в организации Оператора назначен учредитель (ИП). Внутренние процедуры взаимодействия с Роскомнадзором и субъектами при инцидентах оформлены отдельным регламентом и доступны для ознакомления надзорному органу по запросу.

10.6.Распространение персональных данных (ст. 10.1 152-ФЗ)

В соответствии со ст. 10.1 152-ФЗ распространение персональных данных (раскрытие неопределённому кругу лиц) допускается только при наличии отдельного согласия субъекта, оформленного в порядке, установленном Роскомнадзором, и содержащего обязательные сведения (ч. 9 ст. 10.1): цели распространения, перечень распространяемых ПДн, условия и запреты, срок действия согласия, порядок отзыва.

На дату последней редакции настоящей Политики Оператор не распространяет персональные данные пользователей (отзывы, кейсы, фото, видео, ФИО) ни в каких формах: в опубликованных на сайте материалах, рекламе, портфолио, презентациях. Сервис не использует фактические отзывы клиентов с указанием идентифицирующих сведений.

В случае, если в дальнейшем потребуется публикация отзывов, кейсов или иных материалов, содержащих персональные данные клиентов, Оператор обязуется получать у каждого субъекта отдельное письменное согласие на распространение по форме, утверждённой Приказом Роскомнадзора № 187 от 24.02.2021. Отзыв такого согласия влечёт прекращение распространения в течение 3 рабочих дней (ч. 12 ст. 10.1).

11.Права субъектов персональных данных

В соответствии со ст. 14–21 152-ФЗ вы имеете право:

• —Доступ к данным — получить подтверждение факта обработки и копию персональных данных, которые Оператор обрабатывает о вас;
• —Исправление — потребовать уточнения неточных или неполных данных;
• —Удаление («право на забвение») — потребовать удаления персональных данных при отсутствии законных оснований для их хранения (ст. 21 152-ФЗ);
• —Ограничение обработки — потребовать прекращения обработки в случае оспаривания точности данных или незаконности обработки;
• —Возражение против обработки — возразить против обработки в целях, основанных на законных интересах Оператора;
• —Отзыв согласия — в части данных, обрабатываемых на основании согласия (п. 5.1.1 настоящей Политики); отзыв не затрагивает законность ранее произведённой обработки.

11.1. Сроки ответа Оператора (ред. ФЗ-233 от 08.08.2024)

Сроки рассмотрения запросов субъекта различаются в зависимости от характера требования:

• —30 дней с момента получения запроса — для предоставления информации об обработке персональных данных (ст. 14 ч. 7, ст. 20 ч. 1 152-ФЗ). Срок может быть продлён не более чем на 7 рабочих дней с уведомлением субъекта о причинах продления.
• —7 рабочих дней с момента получения запроса — для уточнения, блокирования или уничтожения персональных данных в случае их неполноты, неточности или незаконности обработки (ст. 21 ч. 1 152-ФЗ в редакции ФЗ-233 от 08.08.2024).
• —10 рабочих дней — срок направления Оператором уведомления в Роскомнадзор о принятых мерах при поступлении запроса субъекта о прекращении обработки (ч. 4 ст. 21 152-ФЗ).

11.2. Способы и порядок подачи запроса

Запрос направляется на email info@syce.ru либо по почтовому адресу Оператора (см. раздел 16). Запрос должен содержать:

• —сведения, позволяющие идентифицировать субъекта (ФИО, email, использованный при регистрации);
• —сведения, позволяющие подтвердить факт обработки данных (например, копию документа, удостоверяющего личность — допускается копия с замазанными чувствительными полями для идентификации; либо электронная подпись);
• —содержание требования (доступ, исправление, удаление, ограничение, возражение, отзыв согласия);
• —дату составления запроса и подпись (для письменных запросов).

Если запрос не позволяет однозначно идентифицировать заявителя, Оператор вправе запросить дополнительные сведения для подтверждения личности — это не приостанавливает течение сроков, указанных в п. 11.1, но позволяет защитить данные субъекта от несанкционированного доступа третьих лиц.

11.3. Обращение в надзорный орган

Вы также вправе обратиться с жалобой в Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций): https://pd.rkn.gov.ru, либо в суд по месту жительства субъекта (ст. 17 152-ФЗ).

12.Способ отзыва согласия

Согласие на обработку персональных данных может быть отозвано в любой момент одним из следующих способов:

• —направление письма на info@syce.ru с темой «Отзыв согласия на обработку ПД» и указанием email, с которым связан аккаунт;
• —удаление аккаунта через личный кабинет (функция доступна в разделе «Настройки» или по запросу в поддержку);
• —удаление cookies в браузере — прекращает обработку данных, связанных с сессией и реферальным отслеживанием.

Отзыв согласия не влечёт последствий для ранее оказанных Услуг, но может сделать невозможным дальнейшее использование функциональности личного кабинета.

При отзыве согласия данные уничтожаются в течение 30 дней при отсутствии иных правовых оснований для их хранения (договор, налоговое законодательство).

13.Сроки хранения и уничтожение

По истечении сроков, указанных в Разделе 4, персональные данные подлежат уничтожению или обезличиванию в следующем порядке:

• —учётные данные аккаунта (email, реквизиты) — безвозвратное удаление из базы данных в течение 30 дней после истечения срока хранения или получения запроса на удаление;
• —платёжные данные — обезличивание по истечении 5 лет с даты транзакции;
• —технические логи — автоматическая ротация через 365 дней;
• —cookies — автоматическое истечение в браузере согласно установленному сроку.

Факт уничтожения персональных данных фиксируется внутренним актом. По запросу субъекта Оператор предоставляет подтверждение уничтожения.

14.Порядок изменения и обновления Политики

Изменения в настоящую Политику вносятся в следующем порядке, обеспечивающем соблюдение прав субъектов персональных данных:

14.1. Виды изменений

• —Уточняющие изменения (исправление опечаток, уточнение формулировок без изменения существа обработки) — публикуются с указанием даты редакции.
• —Существенные изменения (новые цели обработки, расширение состава обрабатываемых ПДн, появление трансграничной передачи, появление новых получателей данных, изменение сроков хранения) — требуют отдельного уведомления и получения обновлённого согласия в случаях, когда правовым основанием обработки является согласие субъекта.

14.2. Процедура уведомления при существенных изменениях

• —публикация новой редакции Политики на странице https://syce.ru/legal/privacy не позднее чем за 14 календарных дней до вступления изменений в силу;
• —направление email-уведомления зарегистрированным пользователям с описанием существа изменений, даты их вступления в силу и порядка отзыва согласия;
• —размещение баннера-уведомления на главной странице сайта на период не менее 14 дней до вступления изменений в силу;
• —предоставление субъекту возможности отзыва согласия и удаления данных до вступления изменений в силу — если новая обработка субъект не одобряет.

14.3. Действие новой редакции

Новая редакция Политики применяется к обработке данных, произведённой после даты вступления изменений в силу. Существенные изменения, затрагивающие правовые основания обработки, не распространяются на ранее произведённую обработку без получения отдельного согласия субъекта.

В отношении новых пользователей, регистрирующихся после публикации новой редакции, применяется действующая на момент регистрации редакция Политики, с которой пользователь ознакомлен в порядке, установленном ст. 9 152-ФЗ.

15.Ответственность за нарушения (ред. 30.05.2025)

Настоящий раздел носит информационный характер и приведён для прозрачности правовой ответственности Оператора перед субъектами персональных данных. Размеры штрафов указаны в соответствии с ФЗ-420-ФЗ от 30.11.2024, вступившим в силу 30.05.2025, и Кодексом Российской Федерации об административных правонарушениях.

Оператор принимает меры, описанные в Разделах 10 и 10.5, для предотвращения нарушений и минимизации последствий возможных инцидентов. В случае возникновения нарушений Оператор несёт ответственность в полном соответствии с действующим законодательством Российской Федерации.

16.Контактные данные Оператора