УТВЕРЖДАЮ
Генеральный директор
ООО «Груп Атлантик Теплолюкс»
С.А. Лебедев
01 сентября 2022 г.
Политика Общества с ограниченной ответственностью «Груп Атлантик Теплолюкс» в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика общества с ограниченной ответственностью «Груп Атлантик Теплолюкс» в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью «Груп Атлантик Теплолюкс» (далее – Оператор, ООО «Груп Атлантик Теплолюкс»).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (Оператор) – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Груп Атлантик Теплолюкс», ИНН 5029015168, адрес: 141008, Московская обл., г Мытищи, Проектируемый Проезд 5274, стр. 7, контактный телефон: +7 (495) 728-80-80;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей;
3) сообщать в Роскомнадзор по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
4) обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу персональных данных.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных;
2) требовать от Оператора уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) дать предварительное согласие на обработку персональных данных в целях продвижения товаров, работ и услуг;
4) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «Груп Атлантик Теплолюкс» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. Цели сбора персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
- осуществление своей деятельности в соответствии с уставом ООО «Груп Атлантик Теплолюкс», в том числе заключение и исполнение договоров с контрагентами, включая физических и юридических лиц;
- исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений;
- осуществление пропускного режима;
- регистрация клиентов на сайте и в сервисах Domus / Домик, пользование личным кабинетом, подключение и сопровождение оборудования, оказание технической поддержки, обработка обращений, уведомлений и сервисных событий.
2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, включая Конституцию Российской Федерации, Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации» и иные нормативные правовые акты.
3.2. Правовым основанием обработки персональных данных также являются устав ООО «Груп Атлантик Теплолюкс», договоры, заключаемые между Оператором и субъектами персональных данных, договоры с контрагентами, а также согласие субъектов персональных данных на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов:
4.2.1. Кандидаты для приема на работу к Оператору: фамилия, имя, отчество, пол, гражданство, дата и место рождения, контактные данные, сведения об образовании, опыте работы, квалификации и иные данные, сообщаемые кандидатами.
4.2.2. Работники и бывшие работники Оператора: фамилия, имя, отчество, пол, гражданство, дата и место рождения, паспортные данные, адреса регистрации и проживания, контактные данные, ИНН, СНИЛС, сведения об образовании, квалификации, семейном положении, трудовой деятельности, воинском учете, инвалидности, удержании алиментов, доходе с предыдущего места работы и иные данные, предоставляемые в соответствии с трудовым законодательством.
4.2.3. Члены семьи работников Оператора: фамилия, имя, отчество, степень родства, год рождения и иные данные, предоставляемые работниками.
4.2.4. Клиенты и контрагенты Оператора (физические лица): фамилия, имя, отчество, дата и место рождения, паспортные данные, адреса регистрации и проживания, контактные данные, должность, ИНН, номер расчетного счета, файлы cookie и иные данные, необходимые для заключения и исполнения договоров, регистрации в сервисах и использования приложений Domus / Домик.
4.2.5. Представители клиентов и контрагентов Оператора (юридических лиц): фамилия, имя, отчество, паспортные данные, контактные данные, должность и иные данные, необходимые для заключения и исполнения договоров.
4.3. Обработка биометрических персональных данных осуществляется в соответствии с законодательством Российской Федерации.
4.4. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных неавтоматизированным способом, автоматизированным способом с передачей информации по информационно-телекоммуникационным сетям или без такой передачи, а также смешанным способом.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных осуществляется путем получения данных в устной и письменной форме непосредственно от субъектов, внесения данных в журналы, реестры и информационные системы Оператора, а также использования иных способов обработки.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.7. Передача персональных данных органам дознания и следствия, Федеральной налоговой службе, Пенсионному фонду Российской Федерации, Фонду социального страхования и другим уполномоченным органам осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, включая определение угроз, принятие локальных нормативных актов, назначение ответственных лиц, организацию учета документов, работу с информационными системами, хранение данных в защищенных условиях и обучение работников.
5.9. Оператор хранит персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки, если срок хранения не установлен федеральным законом или договором.
5.10. Оператор прекращает обработку персональных данных при выявлении факта неправомерной обработки, достижении цели обработки, истечении срока действия согласия или отзыве согласия субъекта персональных данных, если обработка допускается только с согласия.
5.11. При достижении целей обработки персональных данных, а также в случае отзыва согласия Оператор прекращает обработку этих данных, если иное не предусмотрено договором, законом или другим соглашением между Оператором и субъектом.
5.12. При обращении субъекта персональных данных с требованием о прекращении обработки персональных данных обработка прекращается в срок, не превышающий 10 рабочих дней с даты получения требования, за исключением случаев, предусмотренных законом.
5.13. При сборе персональных данных, в том числе через Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в законе.
6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов
6.1. Подтверждение факта обработки персональных данных, правовые основания и цели обработки, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса. Запрос должен содержать номер основного документа, удостоверяющего личность, сведения о дате выдачи и выдавшем органе, сведения, подтверждающие участие субъекта в отношениях с Оператором, и подпись субъекта или представителя.
6.2. В случае выявления неточных персональных данных Оператор блокирует персональные данные на период проверки, если блокирование не нарушает права и законные интересы субъекта или третьих лиц. При подтверждении неточности Оператор уточняет персональные данные в течение семи рабочих дней и снимает блокирование.
6.3. В случае выявления неправомерной обработки персональных данных Оператор блокирует неправомерно обрабатываемые персональные данные с момента обращения или получения запроса.
6.4. При выявлении факта неправомерной или случайной передачи персональных данных Оператор уведомляет Роскомнадзор в течение 24 часов о произошедшем инциденте и в течение 72 часов о результатах внутреннего расследования.
6.5. Уничтожение персональных данных осуществляется при достижении цели обработки, утрате необходимости достижения цели, достижении максимальных сроков хранения, предоставлении подтверждения незаконного получения данных или отзыве согласия, если сохранение данных более не требуется. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Груп Атлантик Теплолюкс». Способы уничтожения устанавливаются локальными нормативными актами Оператора.
APPROVED
General Director
LLC “Group Atlantic Teplolux”
S.A. Lebedev
September 1, 2022
Policy of Limited Liability Company “Group Atlantic Teplolux” Regarding the Processing of Personal Data
1. General Provisions
1.1. This Policy of Limited Liability Company “Group Atlantic Teplolux” regarding the processing of personal data has been developed in accordance with Clause 2, Part 1, Article 18.1 of Federal Law No. 152-FZ "On Personal Data" dated July 27, 2006 to ensure the protection of human and civil rights and freedoms during the processing of personal data, including the right to privacy, personal and family confidentiality.
1.2. The Policy applies to all personal data processed by Limited Liability Company “Group Atlantic Teplolux” (the Operator).
1.3. The Policy covers personal data processing relations that have arisen both before and after the approval of this Policy.
1.4. Pursuant to Part 2, Article 18.1 of the Personal Data Law, this Policy is published in open access on the Internet on the Operator's website.
1.5. Basic terms used in the Policy:
personal data – any information related directly or indirectly to an identified or identifiable natural person;
personal data operator – a legal entity that independently or jointly with other persons organizes and/or carries out the processing of personal data and determines purposes, composition, and actions performed with personal data. The Operator is LLC “Group Atlantic Teplolux”, INN 5029015168, address: 141008, Moscow Region, Mytishchi, Proektirovanny Proezd 5274, bldg. 7, phone: +7 (495) 728-80-80;
personal data processing – any action or set of actions performed with personal data, with or without automated means, including collection, recording, systematization, accumulation, storage, clarification, retrieval, use, transfer, depersonalization, blocking, deletion, and destruction;
automated processing – processing using computer technology;
dissemination – disclosure of personal data to an indefinite number of persons;
provision – disclosure of personal data to a specific person or circle of persons;
blocking – temporary cessation of processing;
destruction – actions resulting in the impossibility to restore personal data;
depersonalization – actions resulting in the impossibility to determine data ownership without additional information;
personal data information system – a set of personal data contained in databases and processed using information technologies and technical means.
1.6. Main rights and obligations of the Operator.
The Operator has the right to independently determine measures necessary to comply with the Personal Data Law, entrust processing to another person with the consent of the personal data subject where required, and continue processing without consent when the law allows it.
The Operator is obligated to organize processing in accordance with the law, respond to requests from personal data subjects and their representatives, provide requested information to Roskomnadzor within statutory deadlines, and interact with the state system for detecting and eliminating consequences of cyberattacks when required.
1.7. Main rights of the personal data subject. The personal data subject has the right to obtain information related to the processing of their personal data, demand clarification, blocking, or destruction of data if it is incomplete, outdated, inaccurate, unlawfully obtained, or unnecessary, give prior consent to processing for promotion of goods and services, and file complaints with Roskomnadzor or courts.
1.8. Control over compliance with this Policy is carried out by the person responsible for organizing personal data processing at the Operator.
1.9. Responsibility for violating the requirements of Russian legislation and internal acts of LLC “Group Atlantic Teplolux” is determined in accordance with Russian law.
2. Purposes of Collecting Personal Data
2.1. Personal data processing is limited to achieving specific, predetermined, and lawful purposes. Processing incompatible with the purposes of collection is not allowed.
2.2. Only personal data that meet the purposes of processing are subject to processing.
2.3. The Operator processes personal data for carrying out its activities in accordance with its charter, concluding and executing contracts with counterparties, complying with labor legislation, implementing access control, registering clients on the website and in Domus / Domik services, using personal accounts, connecting and supporting equipment, providing technical support, processing requests, notifications, and service events.
2.4. Processing of employees' personal data may be carried out solely for ensuring compliance with laws and other regulatory legal acts.
3. Legal Grounds for Processing Personal Data
3.1. Legal grounds include the Constitution of the Russian Federation, Civil Code, Labor Code, Tax Code, Federal Law No. 14-FZ "On Limited Liability Companies", Federal Law No. 402-FZ "On Accounting", Federal Law No. 167-FZ "On Compulsory Pension Insurance in the Russian Federation", and other regulatory legal acts.
3.2. Legal grounds also include the charter of LLC “Group Atlantic Teplolux”, contracts concluded with personal data subjects and counterparties, and consent of personal data subjects to processing.
4. Scope and Categories of Personal Data Processed, Categories of Personal Data Subjects
4.1. The content and volume of processed personal data must correspond to the declared processing purposes and must not be excessive.
4.2. The Operator may process personal data of candidates for employment, employees and former employees, family members of employees, clients and counterparties, and representatives of legal entity clients and counterparties.
For candidates, data may include name, gender, citizenship, date and place of birth, contact details, education, work experience, qualifications, and other data provided in resumes.
For employees and former employees, data may include identification, passport, address, contact, tax, insurance, education, qualification, family, employment, military, disability, and income information required by labor law.
For family members of employees, data may include name, degree of relationship, year of birth, and other data provided by employees.
For clients and counterparties, data may include identification, passport, address, contact, position, taxpayer number, bank account, cookie files, and other data necessary for contracts, registration, and use of Domus / Domik services.
For representatives of legal entities, data may include name, passport details, contact details, position, and other data necessary for contracts.
4.3. Processing of biometric personal data is carried out in accordance with Russian law.
4.4. The Operator does not process special categories of personal data concerning race, nationality, political views, religious or philosophical beliefs, health status, or intimate life, except as provided by Russian law.
5. Procedure and Conditions for Processing Personal Data
5.1. Personal data processing is carried out in accordance with Russian legislation.
5.2. Processing is carried out with the consent of personal data subjects and without consent in cases provided by Russian law.
5.3. The Operator processes personal data using non-automated, automated, and mixed methods.
5.4. Employees whose duties include personal data processing are allowed to process personal data.
5.5. Processing is carried out by obtaining data directly from subjects, entering data into logs, registries and information systems, and using other processing methods.
5.6. Disclosure and dissemination of personal data to third parties without the consent of the personal data subject is not allowed unless otherwise provided by federal law.
5.7. Transfer of personal data to investigative authorities, the Federal Tax Service, Pension Fund, Social Insurance Fund, and other authorized bodies is carried out in accordance with Russian law.
5.8. The Operator takes legal, organizational, and technical measures to protect personal data from unauthorized or accidental access, destruction, modification, blocking, dissemination, and other unauthorized actions.
5.9. The Operator stores personal data in a form that allows identifying the subject no longer than required for each processing purpose, unless otherwise established by federal law or contract.
5.10. The Operator terminates processing when unlawful processing is identified, the purpose is achieved, the consent expires or is withdrawn, or other legal grounds apply.
5.11. Upon achieving processing purposes or withdrawal of consent, the Operator terminates processing unless otherwise provided by contract, law, or another agreement.
5.12. Upon the subject's request to cease processing, processing is terminated within 10 business days from receipt of the request, except in cases provided by law.
5.13. When collecting personal data via the Internet, the Operator ensures recording, systematization, accumulation, storage, clarification, and retrieval of personal data of Russian citizens using databases located in the Russian Federation, except as provided by law.
6. Updating, Correction, Deletion, Destruction of Personal Data, Responses to Requests
6.1. Confirmation of personal data processing, legal grounds and purposes, and other information specified in Article 14 of the Personal Data Law are provided to the personal data subject or their representative within 10 business days from receipt of the request. The request must include identity document details, information confirming participation in relations with the Operator, and signature.
6.2. If inaccurate personal data is identified, the Operator blocks the data during verification if blocking does not violate rights and legitimate interests. If inaccuracy is confirmed, data is clarified within seven business days and blocking is removed.
6.3. If unlawful processing is identified, the Operator blocks unlawfully processed data from the moment of request or inquiry.
6.4. If unlawful or accidental transfer of personal data is identified, the Operator notifies Roskomnadzor within 24 hours of the incident and within 72 hours of the results of the internal investigation.
6.5. Personal data is destroyed when the purpose of processing is achieved, the need to achieve the purpose is lost, maximum storage periods are reached, confirmation of unlawful receipt is provided, or consent is withdrawn and retention is no longer required. Destruction is carried out by a commission established by the General Director of LLC “Group Atlantic Teplolux”. Destruction methods are established by local regulatory acts of the Operator.
