ПОЛИТИКА

ООО «АФС» в области обработки и защиты персональных данных

Редакция от «01» июня 2026 г.

1. Общие положения
1.1. Настоящая Политика в области обработки и защиты персональных данных (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «АФС» (далее — Оператор, Общество или ООО «АФС»). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
1.2. Политика разработана и применяется в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.3. В Политике используются следующие термины и сокращения: 
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
ИБ – информационная безопасность.
Политика – настоящая Политика в области обработки и защиты персональных данных.
ФИО - Фамилия, имя, отчество.
Федеральный закон «О персональных данных» - Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
ИСПДн — это информационная система персональных данных.
ППО — прикладное программное обеспечение.
Файлы куки (cookie/cookies) — это файлы с небольшим объемом данных, которые могут содержать анонимный уникальный идентификатор. Файлы cookie передаются в веб-браузер с Сайта и сохраняются на устройстве пользователя.
Сайт/веб-сайт — сайт в сети Интернет, расположенные по адресу https://afslabs.ru/ , поддомены указанного сайта, иные сайты с доменами, которые имеет право использовать Общество.
Продукт/Сервис/Услуга Общества — продукты, сервисы, услуги Общества, сайты Общества в сети Интернет, программы для электронных вычислительных машин, приложения, информационные системы Общества, при использовании которых может понадобиться предоставление ПДн.
Оператор - лицо, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. Для целей настоящей Политики Общество, обрабатывая ПДн, является оператором, если иное прямо не указано в Политике.
Субъект ПДн - физическое лицо, чьи ПДн обрабатываются.
Пользователи - физические лица, непосредственно использующие продукт/сервис/услугу Общества, а также посетители сайтов.
Клиенты - лица, которым Общество предоставляет продукт/сервис/услугу Общества на основании заключенного гражданско-правового договора.
Контрагенты – если иное не указано в Политике, лица, с которыми Общество заключило гражданско-правовой договор и/или с которыми Общество сотрудничает в рамках переговоров (иного взаимодействия) относительно заключения и/или исполнения такого договора.
Работники - физические лица, состоящие с Обществом в трудовых отношениях.
Уволенные работники - физические лица, состоявшие с Обществом в трудовых отношениях.
Соискатели - физические лица, претендующие или претендовавшие на замещение вакансий Работников.
Выгодоприобретатели - лица, к выгоде/в интересах которых заключен договор.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Специальные категории персональных данных – сведения касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.
Куки (cookie) — это небольшой текстовый файл, отправляемый посещаемыми сайтами на компьютер пользователя через браузер.
IP-адрес – уникальный числовой идентификатор устройства в компьютерной сети. 
Мессенджер — программа или приложение (веб-сервис) для обмена сообщениями, и медиафайлами между пользователями таких сервисов.
В настоящей Политике могут быть использованы иные термины, выше не определенные, толкование которых будет производиться в соответствии с законодательством Российской Федерации (в первую очередь в соответствии с Федеральным законом «О персональных данных»).
1.4. В Политике могут быть использованы иные термины, выше не определенные, толкование которых будет производиться в соответствии с законодательством Российской Федерации (в первую очередь в соответствии с Федеральным законом «О персональных данных»).

2. Информация об Операторе (кто обрабатывает персональные данные в соответствии с настоящей Политикой):
Общество с ограниченной ответственностью «АФС», ОГРН 1207800154286, ИНН 7813648947, место нахождения: 197198 г. Санкт-Петербург, ул. Красного Курсанта, д. 25, литер Ж, пом./этаж 35,36/1.

3. Правовые основания обработки персональных данных
3.1. Политика разработана на основании и в соответствии со следующими нормативно правовыми актами и документами:
  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации»;
  • Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 07.07.2003 N 126-ФЗ «О связи»;
  • Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в РФ»;
  • иные законодательные и нормативные правовые акты Российской Федерации;
  • договоры, заключаемые между Обществом и субъектом ПДн, в том числе трудовые и гражданско-правовые договоры;
  • согласие субъекта ПДн (в случаях, предусмотренных действующем законодательством).
3.2. В соответствии с законодательством установлены и другие правовые основания, например, обработка ПДн может осуществляться в связи с участием в судопроизводстве, для исполнения судебного акта или для защиты жизни, здоровья или иных жизненно важных интересов, если получение согласия невозможно.

4. Категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Оператором осуществляется как автоматизированная, так и неавтоматизированная обработка персональных данных следующих категорий субъектов персональных данных:
4.1.1. соискатели (кандидаты) на вакантные должности в Обществе;
4.1.2. работники, заключившие трудовые договоры с Обществом;
4.1.3. уволенные работники;
4.1.4. клиенты/потенциальные клиенты - физические лица Общества (пользователи работ/услуг, выполняемых/оказываемых Обществом, покупатели товаров Общества);
4.1.5. контрагенты/потенциальные контрагенты - физические лица по договорам гражданско-правового характера с Обществом;
4.1.6. посетители офиса Общества;
4.1.7. посетители Сайта;
4.1.8. уполномоченные на основании доверенности представители вышеперечисленных субъектов;
4.1.9. другие субъекты персональных данных для обеспечения реализации целей обработки, указанных в разделе 5 Политики;
4.2. Общество обрабатывает персональные данные в объеме, указанном в разделе 5 Политики.
4.3. Общество не осуществляет обработку специальных категорий персональных данных и биометрических персональных данных за исключением случаев, когда обработка персональных данных обусловлена текущими задачами бизнеса, при обязательном согласии Субъекта персональных данных на обработку персональных данных, или является необходимой в соответствии с требованиями законодательства Российской Федерации.

5. Информация об обрабатываемых персональных данных и целях их обработки
В таблице ниже приведена подробная информация о том, как могут обрабатываться персональные данные в зависимости от целей обработки:

 

Цели обработки Пдн

Категория субъектов Пдн

Категория ПДн

Обрабатываемые Оператором ПДн

Способы и Сроки обработки и хранения ПДн

Порядок уничтожения

5.1.

Ведение кадрового и бухгалтерского учета

Работники; Представители контрагентов.

Общие / иные

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.

Способ обработки – Автоматизированный и Смешанный

Документы, которые работник предъявляет работодателю для хранения в оригинале (справки, медицинские заключения и т.д.), хранятся в личном деле работника в течение 50 лет после расторжения работником трудового договора.


После расторжения трудового договора работника, обработка ПДн осуществляется в течение 5 лет согласно требованиям пп.5 п. 3 ст.24 Налогового кодекса Российской Федерации.


До достижения целей обработки либо отзыва согласия на обработку. 

После истечения нормативного хранения документов, которые содержат ПДн работника, документы подлежат уничтожению. 


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн работников в электронном виде удаляются из ИСПДн с использованием встроенных возможностей прикладного программного обеспечения (ППО).


После увольнения работника осуществляется блокирование учетной записи работника.

5.2.

Подбор кадров

Соискатели 

Общие / иные

Фамилия, имя, отчество, год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании. 

Способ обработки ПДн – Смешанный и Неавтоматизированный.

(1) Срок, необходимый для достижения целей обработки.
(2) До принятия решения о трудоустройстве или отказе в трудоустройстве.

(3) В случае отказа в приеме на работу документы, содержащие ПДн кандидата, хранятся в течение 10 лет в целях формирования кадрового резерва.

После заключения трудового договора/ после истечения срока хранения при отказе в приеме на работу документы, которые содержат ПДн кандидата, подлежат уничтожению.


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн кандидатов в электронном виде удаляются с файловых хранилищ с использованием встроенных возможностей ОС.

5.3.

Обеспечение соблюдения трудового законодательства РФ

Работники / уволенные работники 

Общие/специальные/иные

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании, фото (если оно предоставлено); 

Специальные категории ПДн: сведения о состоянии здоровья.

Способ обработки – Автоматизированный и Смешанный

Документы, которые работник предъявляет работодателю для хранения в оригинале (справки, медицинские заключения и т.д.), хранятся в личном деле работника в течение 50 лет после расторжения работником трудового договора.


После расторжения трудового договора работника, обработка ПДн осуществляется в течение 5 лет согласно требованиям пп.5 п. 3 ст.24 Налогового кодекса Российской Федерации.


До достижения целей обработки либо отзыва согласия на обработку. 

После истечения нормативного хранения документов, которые содержат ПДн работника, документы подлежат уничтожению. 


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн работников в электронном виде удаляются из ИСПДн с использованием встроенных возможностей прикладного программного обеспечения (ППО).


После увольнения работника осуществляется блокирование учетной записи работника.

5.4.

Заключение и сопровождение гражданско-правового договора

Контрагенты; Представители контрагентов; Клиенты; Выгодоприобретатели по договорам; Законные представители; Исполнители по договору ГПХ; Иные категории субъектов персональных данных, персональные данные которых обрабатываются

Общие/иные

- Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; 

- сведения об имени пользователя в сети Интернет при использовании Сайта Оператора; метаданные, данные cookie-файлов, cookie-идентификаторы, IP-адреса, сведения о браузере и операционной системе;

- персональные данные, предусмотренные соответствующими договорами, политиками, условиями обслуживания, пользовательскими соглашениями, офертами и иными правилами предоставления продуктов/сервисов/услуг Общества;

- другие дополнительные персональные данные, которые Субъект ПДн посчитает нужным сообщить о себе в объеме, оправданном целью их обработки.

Способ обработки – Неавтоматизированный и Смешанный

(1) До достижения цели обработки.

(2) До отзыва согласия на обработку данных.

(3) Cрок хранения cookie зависит от их вида и установлен в Политике использования файлов Cookie Общества.

(4) Договоры, содержащие ПДн подлежат хранению в течение 5 лет после истечения срока действия договора.

После истечения нормативного хранения документов, которые содержат ПДн, документы подлежат уничтожению.


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн в электронном виде удаляются из ИСПДн средствами ППО.

5.5.

Информационно – справочное обслуживание и техническая поддержка (биллинговая система, поддержка услуг/сервисов Оператора)

Контрагенты*; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители

Общие/иные

-Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения ;семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа ,удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; 

- Данные мессенджеров (ID, никнейм, имя пользователя); сведения об имени пользователя в сети Интернет при использовании Сайта; данные о созданном на веб-сайте Сервиса аккаунте(учетной записи); метаданные, данные cookie-файлов, cookie-идентификаторы, IP-адреса, сведения о браузере и операционной системе;

- персональные данные, предусмотренные соответствующими договорами, политиками, условиями обслуживания, пользовательскими соглашениями, офертами и иными правилами предоставления продуктов/сервисов/услуг Общества.

- другие дополнительные персональные данные, которые Субъект ПДн посчитает нужным сообщить о себе в объеме, оправданном целью их обработки.

Способ обработки – Автоматизированный и Смешанный

(1) До достижения цели обработки.

(2) До отзыва согласия на обработку данных.

(3) Cрок хранения cookie зависит от их вида и установлен в Политике использования файлов Cookie Общества.

(4) Договоры, содержащие ПДн подлежат хранению в течение 5 лет после истечения срока действия договора.

После истечения нормативного хранения документов, которые содержат ПДн, документы подлежат уничтожению.


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн в электронном виде удаляются из ИСПДн средствами ППО.

5.6.

Организация служебных командировок

Работники

Общие/иные

фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; профессия; должность; отношение к воинской обязанности, сведения о воинском учете.

Способ обработки – Автоматизированный и Смешанный

Документы, которые работник предъявляет работодателю для хранения в оригинале (справки, медицинские заключения и т.д.), хранятся в личном деле работника в течение 50 лет после расторжения работником трудового договора.


После расторжения трудового договора работника, обработка ПДн осуществляется в течение 5 лет согласно требованиям пп.5 п. 3 ст.24 Налогового кодекса Российской Федерации.


До достижения целей обработки либо отзыва согласия на обработку. 

После истечения нормативного хранения документов, которые содержат ПДн работника, документы подлежат уничтожению. 


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн работников в электронном виде удаляются из ИСПДн с использованием встроенных возможностей прикладного программного обеспечения (ППО).


После увольнения работника осуществляется блокирование учетной записи работника.

5.7.

Разграничение прав доступа к информационным системам и прикладному ПО

Работники; Иные категории субъектов персональных данных, персональные данные которых обрабатываются;

исполнители по договору ГПХ

Общие/иные

фамилия, имя, отчество; адрес электронной почты; перечень прав доступа.

Способ обработки – Автоматизированный и Смешанный

Документы, которые работник предъявляет работодателю для хранения в оригинале (справки, медицинские заключения и т.д.), хранятся в личном деле работника в течение 50 лет после расторжения работником трудового договора.


После расторжения трудового договора работника, обработка ПДн осуществляется в течение 5 лет согласно требованиям пп.5 п. 3 ст.24 Налогового кодекса Российской Федерации.


До достижения целей обработки либо отзыва согласия на обработку. 

После истечения нормативного хранения документов, которые содержат ПДн, документы подлежат уничтожению.


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн в электронном виде удаляются из ИСПДн средствами ППО.


После увольнения работника осуществляется блокирование учетной записи работника.

5.8.

Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением

Студенты

Общие/иные

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; номер

телефона; СНИЛС; данные документа, удостоверяющего личность; сведения об образовании; контактные данные.

Способ обработки – Автоматизированный и Смешанный 

До достижения целей обработки.

После истечения нормативного хранения документов, которые содержат ПДн, документы подлежат уничтожению.


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн в электронном виде удаляются из ИСПДн средствами ППО.

5.9.

Поиск контрагентов; Ведение переговоров; Заключение договоров, дополнительных соглашений и т.п.

Работники; Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители.

Общие/иные

-Фамилия, имя, отчество; адрес электронной почты; адрес регистрации; номер телефона; ИНН; гражданство; профессия; должность;

- данные мессенджеров, имя пользователя при использовании Сайта; данные о созданном на веб-сайте Сервиса аккаунте (учетной записи); метаданные, данные cookie-файлов, cookie-идентификаторы, IP-адреса, сведения о браузере и операционной системе; 

-персональные данные, предусмотренные соответствующими договорами, политиками, условиями обслуживания, пользовательскими соглашениями, офертами и иными правилами предоставления продуктов/сервисов/услуг Общества;

- другие дополнительные персональные данные, которые Субъект ПДн посчитает нужным сообщить о себе в объеме, оправданном целью их обработки.

Способ обработки – Автоматизированный и Смешанный

(1) До достижения цели обработки.

(2) До отзыва согласия на обработку данных.

(3) Cрок хранения cookie зависит от их вида и установлен в Политике использования файлов Cookie Общества.

(4) Договоры, содержащие ПДн подлежат хранению в течение 5 лет после истечения срока действия договора.

После истечения нормативного хранения документов, которые содержат ПДн, документы подлежат уничтожению.


Документы на бумажном носителе уничтожаются в специализированных уничтожителях бумаги – шредерах.


ПДн в электронном виде удаляются из ИСПДн средствами ППО.

5.10.

Обеспечение безопасности на территории Общества (Обработка заявки на посещение)

Работники; Соискатели; Контрагенты; Представители контрагентов; Клиенты; Выгодоприобретатели по договорам; Законные представители; Посетители офиса.

Общие/иные

Фамилия, имя, отчество, адрес электронной почты, должность, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, дата и цель посещения территории; наименование организации, которую представляет посетитель. 

Способ обработки ПДн – Смешанный и Неавтоматизированный

До достижения целей обработки

После истечения срока хранения, ПДн подлежат удалению из ИСПДн средствами ППО.

5.11.

Посещение сайта Оператора (просмотр сайта, регистрация на сайте; предоставление информации об услугах/товарах Оператора)

Посетители сайта 

Общие/иные

-фамилия, имя, отчество; адрес электронной почты; номер телефона;

- дата посещения сайта, цель посещения сайта, данные мессенджеров, имя пользователя при использовании Сайта; данные о созданном на веб-сайте Сервиса аккаунте (учетной записи); метаданные, данные cookie-файлов, cookie-идентификаторы, IP-адреса, сведения о браузере и операционной системе;

-персональные данные, предусмотренные соответствующими договорами, политиками, условиями обслуживания, пользовательскими соглашениями, офертами и иными правилами предоставления продуктов/сервисов/услуг Общества;

- другие дополнительные персональные данные, которые Субъект ПДн посчитает нужным сообщить о себе в объеме, оправданном целью их обработки.

Способ обработки ПДн – Автоматизированный и Смешанный.

Срок, необходимый для достижения целей обработки (при посещении сайта).

После истечения срока хранения, ПДн подлежат удалению из ИСПДн средствами ППО.
* При указании категории субъекта ПДн «Контрагент» понимаются: клиенты/потенциальные клиенты, контрагенты/потенциальные контрагенты, выгодоприобретатели/ потенциальные выгодоприобретатели Общества, пользователи и их представители совместно, за исключением случаев, когда приведено уточнение для конкретной категории.

6. Принципы обработки персональных данных
6.1. Обработка персональных данных организована Обществом на принципах:
  • законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Общества;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • обработки только персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
  • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
6.2. Обществом с учетом требований действующего законодательства Российской Федерации может осуществляться обработка биометрических персональных данных. Обработка биометрических персональных данных возможна Оператором только на основании согласия субъекта персональных данных в письменной форме.
6.3. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи может осуществляться Обществом только при условии предварительного согласия субъекта персональных данных и прекращается по его требованию.
6.4. Персональные данные могут быть получены от третьих лиц. В этом случае в условиях соответствующих соглашений будет указан перечень таких лиц и цели получения персональных данных. Другие Операторы также могут уведомить Субъекта Пдн об этом.

7. Порядок и условия обработки персональных данных
7.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации. Субъект ПДн может дать согласие на обработку ПДн в письменной форме, в форме электронного документа или в иной форме, в том числе электронной (например, в виде «чек-бокса»). Общество просит согласие, если иные основания обработки не подходят, например, для направления рекламных коммуникаций.
7.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
7.3. К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных.
Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
7.4. Обработка персональных данных осуществляется путем:
  • получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
  • предоставления субъектами персональных данных оригиналов необходимых документов;
  • получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
  • получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
  • получения персональных данных из общедоступных источников;
  • фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
  • внесения персональных данных в информационные системы Общества;
  • использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.
7.5. Общество может передавать и получать персональные данные Субъектов ПДн, когда это необходимо для исполнения соглашений с Субъектом ПДн, реализации законных интересов или выполнения законных обязанностей – в остальных случаях это возможно только с согласия Субъекта ПДн. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
7.6. При передаче персональных данных третьим лицам в соответствии с заключенными договорами Обществом обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов Общества в области персональных данных.
7.7. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.8. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, может осуществляться в соответствии с Федеральным законом "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, может осуществляться в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
7.9. Общество вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Общества, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.
7.10. В случае, когда Общество на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
7.11. Сроки хранения персональных данных в Обществе определяются в соответствии с законодательством Российской Федерации и нормативными актами Общества в области документооборота.
7.12. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
7.13 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
7.14. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.15. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе «О персональных данных».
7.16. Порядок сбора ПДн с помощью cookie
Куки (cookies) — это небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении веб-сайта. Они используются для того, чтобы сайт мог запоминать действия и предпочтения пользователя (например, язык интерфейса), а также для анализа посещаемости, защиты и улучшения работы сайта.
Cookies могут содержать идентификатор (известный как «идентификатор файла cookie»), который сам по себе считается ПДн в соответствии с законодательством о защите ПДн. Когда cookies обрабатывают информацию, которая может быть использована для идентификации конкретного пользователя (например, адрес электронной почты, имя или номер телефона), они также могут быть рассмотрены как ПДн в соответствии с законодательством о защите ПДн. Все зависит от того, какая информация хранится в этих файлах и как она используется.
Cookies могут содержать различные данные, такие как идентификаторы сессии, предпочтения пользователя, историю посещения и т. д.

7.16.1. В зависимости от срока действия Общество использует сеансовые и постоянные файлы cookie:
Общество использует необходимые файлы cookie, т. е. те, без которых наш сайт не будет работать корректно и описание которых приведено в таблице:
Необходимые cookies будут установлены на устройство пользователя для обеспечения работы сайта и предоставления пользователю функционала сайта. 
7.16.2. Как используются файлы cookie
Общество использует файлы cookie для персонализации пользователя, настроек функциональности сайта, а также в целях защиты сайта, а именно:
  • для идентификации пользователя при отправке запроса на проверку, во время ddos-атаки или подозрительной активности.
  • для регистрации и хранения информации о действиях посетителя сайта по предоставлению согласия на использование определенной категории файлов cookie, сохранения настроек, связанных с управлением согласием посетителя сайта на использование файлов cookie, и обеспечения корректного функционирования механизма управления согласием.
  • для обеспечения безопасности и удобства процесса покупки товара или услуги на сайте.
В приведенной ниже таблице описано, каким образом Общество использует cookie-файлы:

Провайдер cookies

Наименование

Тип cookie-файла, обязательность для функционирования сайта

Назначение

Продолжительность использования (сеансовый, постоянный или срок)

ddos-guard

____ddgn где n – любое число

обязательный

используются для идентификации пользователя при отправке запроса на проверку, во время ddos-атаки или подозрительной активности.

1 год

ddos-guard

__ddgid

обязательный

используются для идентификации пользователя при отправке запроса на проверку, во время ddos-атаки или подозрительной активности.

1 год

Tilda

t_cookiesCategories

обязательный

Используются для управления согласием посетителя сайта на использование определенных категорий файлов cookie, в том числе регистрируют и сохраняют информацию о действиях пользователя по предоставлению согласия на использование определенной категории файлов cookie, которые были выполнены при посещении сайта.

1 год

Tilda

t_cookiesConsentGiven

обязательный

Используются для регистрации и хранения согласия посетителя сайта на использование файлов cookie, чтобы при последующих посещениях сайта ему не нужно было изменять настройки повторно.

1 год
7.16.3. Управление и отказ
Управление файлами cookie возможно путем изменения пользователем настроек используемого веб-браузера. Пользователь имеет возможность изменить пользовательские настройки, тем самым заблокировав файлы cookie и обеспечив недоступность отдельных компонентов сайта. 
Разные браузеры предоставляют разные методы блокировки и удаления файлов cookie, используемых веб-сайтами. Пользователь может изменить настройки своего браузера, чтобы заблокировать/удалить файлы cookie. Ниже перечислены ссылки на вспомогательные документы о том, как управлять файлами cookie и удалять их из основных веб-браузеров.
Хром: https://support.google.com/accounts/answer/32050
Сафари: https://support.apple.com/en-in/guide/safari/sfri11471/mac
Firefox: https://support.mozilla.org/en-US/kb/clear-cookies-and-site-data-firefox?redirectslug=delete-cookies-remove-info-websites-stored&redirectlocale=en-US
Internet Explorer: https://support.microsoft.com/en-us/topic/how-to-delete-cookie-files-in-internet-explorer-bca9446f-d873-78de-77ba-d42645fa52fc
Если Пользователь использует любой другой веб-браузер, ему необходимо посетить официальную документацию поддержки своего браузера.
Использование файлов cookie может быть отключено или ограничено, но без необходимых файлов cookie невозможно будет в полной мере воспользоваться всеми функциями сайта.

8. Права субъекта персональных данных
8.1. Субъект персональных данных, имеет:
  • право на отзыв ранее данного им согласия на обработку персональных данных*;
  • право на получение информации, касающейся обработки персональных данных;
  • право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута Обществом.
* Согласно ч. 2 ст. 9, ч. 4 и 5 ст. 21 Федерального закона «О персональных данных» Общество вправе продолжить обработку персональных данных при наличии иных правовых оснований.
8.2. Если иной порядок взаимодействия Общества и субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить Обществу заявление:
  • в письменной форме и подписанное собственноручной подписью — по адресу: 197198 г. Санкт-Петербург, ул. Красного Курсанта, д. 25, литер Ж, пом./этаж 35,36/1 ЛИБО
  • в виде электронного документа и подписанное электронной подписью — на электронную почту info@afslabs.ru
Такое заявление должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:
  • ФИО субъекта персональных данных;
  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, ЛИБО сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
  • подпись субъекта персональных данных или его представителя.
8.3. Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и в суд в порядке, установленном законодательством Российской Федерации.

9. Требования к защите персональных данных, реализуемые Обществом
9.1. Обеспечение безопасности персональных данных при их обработке в Обществе осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
9.2. Общество предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
9.3. Меры защиты, реализуемые Обществом при обработке персональных данных, включают:
  • принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
  • назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Общества;
  • организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Общества;
  • создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
  • организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
  • хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
  • обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
  • обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
  • установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Обществе мер по обеспечению безопасности персональных данных;
  • обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
  • осуществление внутреннего контроля за соблюдением в Обществе законодательства Российской Федерации и локальных нормативных актов Общества при обработке персональных данных. - определение угроз безопасности персональных данных при их обработке.
9.4. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

10. Организационная структура обеспечения безопасности персональных данных Общества
10.1. Генеральный директор Общества обеспечивает организацию системы безопасности персональных данных Общества.
10.2. Комиссия по классификации информационных систем персональных данных. Подотчетна Генеральному директору Общества. Осуществляет определение типов угроз безопасности персональных данных и уровней защищенности персональных данных при их обработке в информационных системах персональных данных Общества.
10.3. Ответственный за обеспечение безопасности персональных данных подотчетен Генеральному директору Общества и осуществляет разработку, организацию и проведение мероприятий по обеспечению безопасности персональных данных в Обществе.
10.4. Администратор информационной безопасности Общества подотчетен Генеральному директору Общества и осуществляет организацию выполнения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества.
10.5. Руководители структурных подразделений, осуществляющих обработку персональных данных   подотчетны Генеральному директору Общества, ответственному за обеспечение безопасности персональных данных и отвечают за выполнение установленного в Обществе порядка обработки и обеспечения безопасности персональных данных.
10.6. Работники структурных подразделений, осуществляющих обработку персональных данных подотчетны руководителям структурных подразделений и осуществляют обработку и обеспечение безопасности персональных данных в соответствии с установленным в Обществе порядком.
10.7. Разработка и проведение мероприятий по обеспечению безопасности персональных данных в организации также может осуществляться на договорной основе сторонними организациями, имеющими соответствующие лицензии.

11. Мероприятия по обеспечению безопасности персональных данных при их автоматизированной и неавтоматизированной обработке
Мероприятия по обеспечению безопасности персональных данных при их автоматизированной и неавтоматизированной обработке включают в себя:
11.1. определение состава информационных систем персональных данных Оператора;
11.2. определение перечня и типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных Оператора;
11.3. определение необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных Оператора;
11.4. создание системы защиты персональных данных, включающей организационные и технические меры по обеспечению безопасности персональных данных, среди которых:
  • назначение ответственных за организацию обработки персональных данных в Компании;
  • назначение ответственных за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Оператора;
  • утверждение перечня работников, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных обязанностей;
  • периодическое проведение обучения работников по вопросам обработки обеспечения безопасности персональных данных;
  • организация режима обеспечения безопасности помещений, в которых размещены технические средства информационных систем персональных данных, препятствующего возможности неконтролируемого проникновения в эти помещения лиц, не имеющих права доступа в эти помещения;
  • обеспечение безопасности мест хранения носителей персональных данных и непосредственно сохранности носителей;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в том числе шифровальных (криптографических) средств защиты информации;
  •  управление доступом к информационным ресурсам информационных систем персональных данных;
  • резервирование технических средств, дублирование массивов и носителей персональных данных;
  • использование защищенных каналов связи при передаче персональных данных через сети связи общего пользования (Интернет);
  • предотвращение внедрения в информационные системы персональных данных вредоносных программ и программных закладок;
  • обнаружение вторжений в информационные системы персональных данных, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
  • анализ защищенности информационных систем персональных данных, предполагающий применение специализированных программных средств; - использование средств антивирусной защиты; 
  • Издание Обществом документов, определяющих политику Общества в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории Субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права Субъектов персональных данных, а также возлагающие на Общество не предусмотренные законодательством Российской Федерации полномочия и обязанности и прочие меры.
11.5. Определение типа угроз безопасности персональных данных и необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных Оператора производится Комиссией по классификации информационных систем персональных данных в соответствии с положениями Постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Состав и полномочия Комиссии по классификации информационных систем персональных данных определяется Приказом Генерального директора Общества.
11.6. Решение Комиссии об определении типа угроз безопасности персональных данных и необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных Общества оформляется соответствующим актом.
11.7. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится:
  • до ввода информационной системы персональных данных в эксплуатацию;
  • периодически, при этом периодичность проведения такой оценки устанавливается Компанией (но не реже, чем предусмотрено действующим законодательством Российской Федерации).
11.8. Для проведения оценки эффективности реализованных мер по обеспечению безопасности могут привлекаться на договорной основе сторонние организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации.
11.9. Оценка эффективности реализованных мер по обеспечению безопасности персональных данных может проводиться в рамках работ по аттестации информационных систем персональных данных.
11.10 Особенности обеспечения безопасности персональных данных при их обработке без использования средств автоматизации определяются Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и отдельными локальными нормативными актами Оператора, связанными с неавтоматизированной обработкой персональных данных.

12. Хранение персональных данных.
12.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
12.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
12.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
12.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПДн.
12.5. Хранение Персональные данные в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

13. Уничтожение персональных данных.
13.1. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
13.2.Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
13.3. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
13.4. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
13.5. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
13.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 14.5 Политики, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
13.7. В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения запрещении или об ограничении трансграничной передачи персональных данных, предусмотренного частью 8 или 12 статьи 12 Федерального закона «О персональных данных», оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.

14. Заключительные положения
14.1. Если иное не предусмотрено настоящей Политикой вопросы относительно порядка применения настоящей Политики могут направляться на следующий адрес:  info@afslabs.ru 
14.2. К настоящей Политике и отношениям между субъектом ПДн и Обществом, возникающим в связи с применением Политики, подлежит применению право Российской Федерации.
14.3. Общество имеет право вносить изменения в настоящую Политику путем размещения ее новой редакции в сети Интернет на Сайтах. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция Политики доступна по ссылке: https://afslabs.ru/privacy