Политика об обработке и защите персональных данных

УТВЕРЖДЕНО

Генеральным директором

ООО «АМТ Инжиниринг»

В.Е. Титовой

Приказ от 15.01.2025 г.№ 1

Политика об обработке и защите персональных данных

г. Москва «15» января 2025г.

1. Общие положения

1.1. Политика об обработке и защите персональных данных (далее — Политика) издано и применяется ООО «АМТ Инжиниринг» (далее — Оператор) в соответствии с Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.2. В рамках настоящей Политики под персональной информацией Пользователя понимаются:

1.2.1. Персональная информация, которую Пользователь предоставляет о себе самостоятельно при регистрации (создании учетной записи) или в процессе использования Сервисов, включая персональные данные Пользователя. Обязательная для предоставления Сервисов информация помечена специальным образом.

1.2.2. Данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация.

1.2.3. Настоящая Политика конфиденциальности применяется только к Сайту www.amt-e.ru. Сайт www.amt-e.ru не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте www.amt-e.ru.

1.3. Настоящее Политика определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.

Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.4. Целью обработки персональных данных является:

— обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

— продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.5 настоящего Положения);

1.5. Действие настоящей Политики не распространяется на отношения, возникающие при:

1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;

2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и настоящей Политикой.

Обработка организована Оператором на принципах:

— законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;

— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.7. Способы обработки персональных данных:

— смешанная; с передачей по внутренней сети юридического лица; без передачи по сети Интернет. 1.8. В информационных системах Оператора осуществляется обработка общедоступных персональных данных.

1.9. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных, именуемого далее «куратор ОПД».

1.10. Настоящее Политика и изменения к нему утверждаются приказом руководителя Оператора.

1.11. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Политикам и изменениями к нему.

1.12. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.13. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Политикой конфиденциальности.

1.14. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с Политикой о внутреннем контроле Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться.

1.15. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, настоящей Политикой, а также обеспечить возможность доступа к настоящему Положению с использованием средств соответствующей информационно-телекоммуникационной сети.

1.16. Условия обработки персональных данных Оператором:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора.

1.17. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

1.18. Хранение персональных данных осуществляется в порядке, предусмотренном Политикой о хранении персональных данных у Оператора.

2. Структурные подразделения оператора по обработке персональных данных.

2.1. Обработку персональных данных организует руководителя Оператора.

2.2. Руководитель Оператора:

1) доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

2) организует обработку персональных данных;

3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.

2.4. Контроль за исполнением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных нормативных актов Оператора при обработке персональных данных возложен на руководителя Оператора.

2.5. Обработка персональных данных также осуществляется:

— Яндекс.Метрика (сервер: `mc.yandex.ru`);

— хранится в CRM.

2.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

— определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;

— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных;

— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

— учет машинных носителей персональных данных;

— обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;

— обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;

— восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

2.7. Руководитель Оператора обеспечивает:

— своевременное обнаружение фактов несанкционированного доступа к персональным данным;

— недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— постоянный контроль за обеспечением уровня защищенности персональных данных;

— соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

— учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

— при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

— разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

2.8. Руководитель Оператора принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

2.9. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

2.10. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

2.11. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора руководителем Оператора незамедлительно принимаются меры по установлению причин нарушений и их устранению.

3. Порядок обеспечения оператором прав субъекта

персональных данных

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

3.3. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных руководителем Оператора в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется руководителем Оператора.

3.4. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю руководителем Оператора в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя.

Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

3.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.

3.5.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.

3.5.2. Для письменного согласия достаточно простой письменной формы.

Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.

3.6. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в  ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

3.7. Оператор обязан рассмотреть возражение, указанное в ст.16 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

3.8. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

3.9. Оператор в течение 20 (двадцати) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. Порядок обработки персональных данных

4.1. Цель обработки персональных данных определяет руководитель Оператора. Цель обработки персональных данных утверждается приказом Оператора.

4.2. На основании заданной цели руководитель Оператора определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц.

4.3. Обязанности Оператора:

— организовывать принятие организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

— доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки ПД, требований к защите персональных данных;

— организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;

— в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

4.4. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществляются только Оператором.

4.5. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Оператором по следующей процедуре:

4.5.1. ОПД ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения (включая описи электронных документов постоянного хранения) (далее — описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).

4.5.2. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.

4.5.3. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.

Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5. Контроль, ответственность за нарушение

или неисполнение политики

5.1. Контроль за исполнением Политики возложен на руководителя Оператора.

5.2. Лица, нарушающие или не исполняющие требования Политики, привлекаются к дисциплинарной, административной или уголовной ответственности в соответствии с действующим законодательством РФ.