. Назначение и область действия документа

1.1. «Политика OOО «АГАТ» (далее — Общество) в отношении обработки персональных данных» (далее — Политика) определяет позицию и намерения Общества в области обработки персональных данных, при осуществлении деятельности Общества с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Требования и нормы в отношении обработки персональных данных, определённые в Политике обязательны к исполнению всеми сотрудниками Общества.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

1.4. В целях реализации настоящей Политики в Обществе разрабатываются локальные нормативные акты, конкретизирующие вопросы обработки и защиты персональных данных.

1.5. К настоящей Политике имеет доступ любой субъект персональных данных.

2. Термины и определения

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники

2.4. Информационная система персональных данных — Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Оператор персональных данных — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.6. Обезличивание персональных данных — Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.7. Трансграничная передача персональных данных — Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.8. Уничтожение персональных данных — Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).

2.10. Пользователь сайта — любой посетитель Интернет-сайтов организации.

3. Субъекты персональных данных.

3.1. Общество обрабатывает персональные данные следующих лиц:

·         • работников Общества;

·         • субъектов, с которыми заключены договоры гражданско-правового характера;

·         • кандидатов на замещение вакантных должностей Общества;

·         • клиентов Общества;

·         • пользователи сайтов Общества;

·         • зарегистрированных пользователей сайта Общества;

·         • представителей юридических лиц — контрагентов Общества.

3.2. Перечень персональных данных по каждой категории субъектов, обрабатываемых Оператором, а также цели их обработки утверждается внутренними нормативными документами Оператора.

4. Принципы и условия обработки персональных данных

4.1. Все сотрудники Общества, имеющие доступ к персональным данным должны соблюдать конфиденциальность персональных данных. Конфиденциальность персональных данных — такие условия обработки персональных данных, при которых сотрудники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.2. Общество в лице руководства и сотрудников в пределах своей компетенции обязано обеспечивать безопасность персональных данных при их обработке. Под безопасностью персональных данных Общество понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.

4.3. Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

4.4. При обработке персональных данных сотрудниками Общества необходимо придерживаться следующих принципов:

·         • обработка персональных данных должна осуществляться на законной и справедливой основе;

·         • обработка персональных данных должна осуществляться на законной и справедливой основе;

·         • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

·         • обработке подлежат только персональные данные, которые отвечают целям их обработки;

·         • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

·         • обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

4.5. Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

·         • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·         • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·         • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

·         • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

·         • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

·         • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.6. Общество вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». В поручении должны быть определены перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных.

4.7. В случаях, установленных законодательством Российской Федерации, Общество вправе осуществлять передачу персональных данных граждан.

4.8. В целях информационного обеспечения в Общества могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.

4.9. Оператор может осуществлять трансграничную передачу персональных данных, в том числе в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных, для исполнения договора или на основании согласия субъекта персональных данных, а также при наличии иного правового основания.

При совершении трансграничной передачи персональных данных, передача осуществляется Оператором при условии отсутствия запрета на такую передачу по результатам рассмотрения уведомления Роскомнадзором и с учетом ограничений, установленных Роскомнадзором, при их наличии. В случае принятия решения Роскомнадзором о запрете трансграничной передачи, Оператор не осуществляет такую передачу персональных данных субъектов и обеспечивает уничтожение уже переданных персональных данных субъектов стороной-получателем.

5. Использование cookies-файлов и иных средств веб-аналитики

5.1. Общество в целях обработки персональных данных, установленных внутренними нормативными документам, может собирать электронные пользовательские данные (в том числе cookies) на своих сайтах автоматически, без необходимости участия пользователя и совершения им каких-либо действий по отправке данных.

Cookies — это небольшие текстовые файлы, содержащие данные, которые сохраняются на устройстве пользователя (например, ПК, смартфоне или планшете) при посещении веб-страницы. Включают в себя, в том числе, сведения об устройстве, браузере, версии приложения и т.д. Файлы cookie содержат данные в обезличенной форме. Эти файлы позволяют веб-ресурсу сохранять информацию о действиях или предпочтениях пользователя на протяжении определённого периода времени, обеспечивая реализацию функциональности сайта и оптимизацию пользовательского опыта.

5.2. Цели обработки cookies-файлов:

На сайте Общества могут использоваться файлы – cookies, приведенные ниже. Для каждого типа cookies определены свои функционал и цели обработки.

Тип cookies	Описание	Цели обработки
Технические файлы cookies	Файлы необходимы для обеспечения базовой функциональности сайта. Они позволяют сайту запомнить действия пользователя (например, выбор языка или корзину покупок) на протяжении сессии. Без этих cookies сайт может работать некорректно или часть его функций может быть недоступна.	- Для обеспечения корректного отображения интерфейсов сайта и их интерактивных компонентов. - Для упрощения использования Сайта Пользователем.
Аналитические файлы cookies	Файлы использующиеся для сбора статистики о том, как пользователи взаимодействуют с сайтом. Данные файлы позволяют собирать информацию о посещаемости страниц, действиях на сайте, времени, проведённом на каждой странице, и других аспектах пользовательского поведения.	-  Для улучшения качества, удобства и функциональности сайта для Пользователей. - Для планирования дальнейшего развития сайта.
Маркетинговые файлы cookies	Файлы используются для сбора информации о поведении Пользователей сайта и их предпочтениях в Интернете.	- Для персонализации и оптимизации рекламных коммуникаций на сайте. - Для оценки эффективности персонализации рекламных коммуникаций на сайте.

5.3. Обработка и использование файлов cookies

5.3.1. Пользователям сайтов Общества могут показываться всплывающие уведомления о сборе и обработке данных cookies с ссылкой на настоящую Политику.

5.3.2. Такие уведомления означают, что при посещении и использовании сайтов, информационных ресурсов и веб-приложений Общества в браузер на устройстве пользователя может сохраняться информация (файлы cookies), позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя, специфичные для этих конкретных сайтов. Такая информация после сохранения в браузер и до истечения установленного настоящей Политикой срока действия или удаления с устройства будет отправляться при каждом последующем запросе на сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне Общества.

5.3.3. Продолжая использовать сайт, пользователь соглашается на обработку всех cookies, указанных в п. 5.2 настоящей Политики, на сайтах Общества.

5.3.4. Общество обрабатывает файлы cookies и передает собранные с помощью них данные в сервисы аналитики Яндекс.Метрика и Google Analytics с целью улучшения функциональности и пользовательского опыта на сайте, а также оценки эффективности маркетинговых компаний. В случае с Google Analytics происходит трансграничная передача данных cookies в соответствие с п. 4.9 настоящей Политики и в рамках соблюдения требований законодательства РФ о защите персональных данных.

5.4. Сроки хранения файлов cookies

5.4.1. Сроки хранения и обработки файлов cookies для авторизованных Пользователей сайтов (т.е. прошедших процедуру регистрации на сайтах и имеющих личный кабинет) устанавливаются в соответствие со сроками обработки персональных данных, указанных в согласии на обработку персональных данных, с которым соглашается Пользователь при регистрации на сайтах Общества или до момента удаления файлов cookies со своего устройства самостоятельно и отключения обработки cookies в настройках используемого Интернет-браузера.

5.4.2. Сроки хранения и обработки файлов cookies для неавторизованных Пользователей сайтов (т.е. пользователей, не имеющих личного кабинета на сайтах Общества) устанавливаются на период 365 дней с момента последнего посещения сайтов или до момента удаления файлов cookies со своего устройства самостоятельно и отключения обработки cookies в настройках используемого Интернет-браузера.

5.5. Управление файлами cookies и их удаление

5.4.2. В случае если Пользователь не согласен с обработкой любых cookies, он должен отказаться от их использования на сайте и принять на себя риск, что в таком случае функции и возможности сайта могут не быть доступны в полном объеме, а затем следовать по одному из следующих вариантов:

5.4.2.1. Произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные cookies для любых сайтов либо для конкретного сайта Общества или сайта стороннего компонента, установленного на сайт. Кроме того, субъект персональных данных может удалить ранее сохраненные cookie-файлы со своего устройства, выбрав соответствующую опцию в истории браузера.

5.4.2.2. Переключиться в специальный режим «инкогнито» браузера для использования сайтом cookies до закрытия окна браузера или до переключения обратно в обычный режим.

5.4.2.3. Покинуть сайт во избежание дальнейшей обработки cookies.

5.4.2.4. Ознакомиться с инструкциями по отключению и настройкам файлов cookies популярных Интернет-браузеров можно перейдя по следующим ссылкам:

·         • Internet Explorer

·         • Microsoft Edge

·         • Safari

·         • Google Chrome

·         • Firefox

·         • Яндекс Браузер

6. Права субъекта персональных данных

6.1. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

·         • подтверждение факта обработки персональных данных оператором;

·         • правовые основания и цели обработки персональных данных;

·         • цели и применяемые Обществом способы обработки персональных данных;

·         • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

·         • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

·         • сроки обработки персональных данных, в том числе сроки их хранения;

·         • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

·         • информацию об осуществленной или о предполагаемой трансграничной передаче данных;

·         • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

7. Ответственность

7.1. В случае неисполнения требований Федерального закона № 152-ФЗ «О персональных данных», других законодательных актов в области обработки персональных данных виновные в нарушении, несут предусмотренную законодательством Российской Федерации ответственность.

7.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

8. Защита персональных данных

8.1. Общество при обработке персональных данных обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2. Обеспечение безопасности персональных данных, в частности достигается:

·         • определением угроз безопасности персональных данных при их обработке;

·         • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке (в том числе в информационных системах персональных данных), необходимых для выполнения требований к защите персональных данных;

·         • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

·         • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных;

·         • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

·         • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

·         • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

·         • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

·         • организацией пропускного режима на территорию Общества;

·         • поддержанием технических средств охраны, сигнализации и связи в исправном состоянии и постоянной готовности.

9. Заключительные положения

9.1. Общество имеет право вносить изменения в настоящую Политику в любое время в одностороннем порядке. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.