1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - «Политика») разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - «152-ФЗ»), с учетом всех изменений, вступающих в силу с 30 мая 2025 года, а также иных нормативных правовых актов Российской Федерации.
1.2. Оператор персональных данных: ООО «Проморганика» Юридический адрес: 400031, Волгоградская обл, г. Волгоград, ул. им. Бахтурова, дом 12б, офис 6 (адрес электронной почты bykadorovm@mail.ru).
1.3. Политика действует в отношении всех персональных данных, которые Оператор получает и обрабатывает в рамках своей деятельности, в том числе от работников, клиентов, партнеров, пользователей сайта, мобильных приложений, офлайн- и онлайн-каналов.
1.4. Политика является основой для разработки и актуализации всех локальных нормативных актов по обработке персональных данных в организации.
1.5. Политика размещается в свободном доступе на сайте Оператора и предоставляется по первому требованию любого субъекта персональных данных.
2. Правовые основания обработки персональных данных
2.1. Обработка осуществляется на основании:

• Конституции РФ;
• 152-ФЗ и иных федеральных законов;
• Трудового кодекса РФ;
• Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
• иных нормативных актов РФ, регулирующих отдельные аспекты обработки ПДн;
• устава Оператора;
• договоров с субъектами персональных данных;
• согласия субъекта персональных данных (в том числе отдельного согласия на распространение, трансграничную передачу, обработку специальных/биометрических данных).

3. Основные понятия
В настоящей Политике используются термины и определения, приведённые в 152-ФЗ, а также раскрываются следующие понятия:

• Персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
• Неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств вычислительной техники.
• Оператор персональных данных - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• Субъект персональных данных - физическое лицо, к которому относятся обрабатываемые персональные данные.
• Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
• Предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
• Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
• Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
• Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.
• Журнал обращений субъектов персональных данных - внутренний документ Оператора, фиксирующий все обращения субъектов, сроки и результаты их рассмотрения, хранящийся не менее 3 лет.
• Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
• Специальные категории персональных данных - сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

4. Принципы и цели обработки персональных данных
4.1. Обработка персональных данных осуществляется на основе следующих принципов:

• Законность, справедливость, прозрачность;
• Ограничение обработки достижением конкретных, заранее определённых и законных целей;
• Недопустимость объединения баз данных, обработка которых осуществляется в несовместимых целях;
• Соответствие объёма и содержания персональных данных заявленным целям;
• Достоверность, достаточность, актуальность данных;
• Хранение не дольше, чем этого требуют цели обработки;
• Уничтожение или обезличивание данных по достижении целей;
• Обеспечение безопасности и конфиденциальности персональных данных;
• Раздельное хранение данных для разных целей и категорий субъектов.

4.2. Оператор обрабатывает персональные данные в целях:

• Заключения, исполнения и прекращения договоров;
• Кадрового делопроизводства, подбора персонала;
• Ведения клиентских, партнёрских, пользовательских отношений;
• Обработки обращений, заявок, предоставления информации;
• Выполнения требований законодательства;
• Маркетинговых, аналитических, исследовательских мероприятий (только при наличии отдельного согласия);
• Улучшения сервисов, технической поддержки;
• Иных целей, не противоречащих законодательству.

5. Категории и перечень обрабатываемых персональных данных
5.1. Оператор обрабатывает:

• ФИО;
• Контактные данные (телефон, e-mail, адрес);
• Данные о трудовой деятельности, образовании, квалификации;
• Иные сведения, предоставленные субъектом.

5.2. Для каждого процесса и категории субъектов составляется отдельный перечень обрабатываемых персональных данных, соответствующий целям обработки.
6. Условия и порядок обработки персональных данных
6.1. Обработка осуществляется с согласия субъекта, за исключением случаев, предусмотренных законом.
6.2. Согласие:

• Оформляется отдельным документом, не включается в договоры;
• Согласие на распространение, трансграничную передачу, обработку специальных/биометрических данных - отдельное, письменное;
• Согласие на cookies, аналитику, поведенческие данные - отдельное, с возможностью выбора.

6.3. Передача третьим лицам:

• Только на основании договора с включением обязательств по защите ПДн, ответственности, перечня действий и целей обработки;
• Контроль за подрядчиками, аудит их соответствия 152-ФЗ;
• Ответственность за действия подрядчика несёт Оператор.

6.4. Трансграничная передача:

• Только при наличии отдельного письменного согласия и/или на основании закона;
• Уведомление Роскомнадзора о каждом случае трансграничной передачи;
• Проверка достаточности уровня защиты у иностранного получателя.

6.5. Локализация:

• Все персональные данные граждан РФ обрабатываются и хранятся исключительно на территории РФ, с указанием конкретных дата-центров/провайдеров (при необходимости).

6.6. Cookies, аналитика, поведенческие данные:

• Использование только с отдельного согласия пользователя;
• Реализована возможность управления настройками cookies;
• Перечень используемых сервисов (например, Яндекс.Метрика) раскрывается в политике.

6.7. Несовершеннолетние:

• Для лиц до 18 лет - согласие законного представителя, механизм верификации возраста.

7. Хранение, обезличивание и уничтожение персональных данных
7.1. Сроки хранения определяются целями обработки, законом, договором, сроком действия согласия.
7.2. По достижении целей, истечении срока или отзыве согласия - уничтожение/обезличивание данных в течение 30 дней, с оформлением акта, комиссией по уничтожению.
7.3. Уничтожение данных осуществляется способами, исключающими восстановление, с ведением соответствующей документации.
8. Меры по обеспечению безопасности персональных данных
8.1. Оператор реализует комплекс правовых, организационных и технических мер:

• Назначение ответственного за ПДн;
• Регистрация в реестре операторов ПДн;
• Ведение внутреннего контроля, аудита, регулярное обучение сотрудников;
• Оценка вреда субъектам при нарушении 152-ФЗ;
• Ограничение доступа, учёт носителей, использование сертифицированных средств защиты;
• Двухфакторная аутентификация, шифрование, резервное копирование, аудит событий;
• Журналирование всех обращений субъектов (срок хранения - не менее 3 лет);
• Реагирование на инциденты, уведомление Роскомнадзора и субъектов в течение 24 часов;
• Ведение отчётности по инцидентам, хранение актов расследования.

9. Права субъектов персональных данных
Субъект имеет право:

• Получать полную информацию об обработке своих данных;
• Требовать уточнения, блокирования, уничтожения;
• Отозвать согласие (в любой момент, в письменной форме);
• Ограничить обработку, потребовать прекращения распространения;
• Получать сведения о трансграничной передаче, подрядчиках;
• Обжаловать действия/бездействие Оператора в Роскомнадзор или суд;
• Получать сведения о сроках и способах хранения, перечне своих данных;
• Иные права, предусмотренные законом.

10. Порядок реализации прав субъектов
10.1. Все обращения субъектов регистрируются в журнале обращений, хранятся не менее 3 лет.
10.2. Запрос оформляется письменно (или через защищённую электронную форму), с указанием ФИО, реквизитов удостоверяющего документа, сути запроса, подписи.
10.3. Ответ предоставляется в течение 10 рабочих дней в форме, в которой поступил запрос.
11. Порядок уведомления об инцидентах
11.1. При выявлении факта нарушения безопасности ПДн (утечка, неправомерный доступ, уничтожение, изменение, блокировка, копирование, распространение) Оператор:

• В течение 24 часов уведомляет Роскомнадзор и субъектов;
• Проводит внутреннее расследование, оформляет акт;
• Ведёт учёт инцидентов, принимает меры по недопущению повторных случаев.

12. Публичность и актуализация политики
12.1. Политика размещается на сайте Оператора, дата утверждения и последней редакции указываются явно.
12.2. При внесении изменений пользователи информируются через сайт/почту/личный кабинет.
12.3. Новая редакция вступает в силу с момента публикации, если не указано иное.
13. Контакты для обращений
[ФИО, должность, почтовый адрес, e-mail, телефон ответственного за обработку ПДн]
14. Приложения

• Образцы согласий: на обработку, на распространение, на трансграничную передачу, на обработку специальных/биометрических данных;
• Журнал обращений субъектов;
• Регламент реагирования на инциденты;
• Перечень подрядчиков и операторов по поручению (с указанием мер защиты);
• Перечень категорий персональных данных по каждой цели и категории субъектов.

15. Ответственность
15.1. Лица, виновные в нарушении законодательства и настоящей Политики, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.

Настоящая Политика утверждена приказом Оператора № 03 от 30.05.2025 года, опубликована на официальном сайте и действует до утверждения новой редакции.