Политика обработки
персональных данных

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах», приказа ФСТЭК России № 21 и иных применимых нормативных актов.

Политика определяет порядок обработки персональных данных, которые Общество с ограниченной ответственностью АМТП (далее — «Оператор», «Компания») получает от пользователей сайта https://amtp.net (далее — «Сайт»), а также через иные каналы коммуникации.

Использование Сайта и (или) предоставление персональных данных означает безусловное согласие с настоящей Политикой. Если вы не согласны с её условиями — прекратите использование Сайта и не передавайте свои данные Оператору.

Политика размещена в открытом доступе по адресу: https://amtp.net/privacy.php.

2. Оператор персональных данных

Оператором персональных данных в соответствии с ФЗ-152 является:

Оператор зарегистрирован в реестре операторов персональных данных Роскомнадзора в соответствии с требованиями ст. 22 ФЗ-152.

3. Принципы обработки персональных данных

Оператор при обработке персональных данных руководствуется следующими принципами, закреплёнными в ст. 5 ФЗ-152:

• Законность и справедливость — обработка осуществляется только на законных основаниях, открыто и прозрачно;
• Ограничение цели — данные собираются только для конкретных, явных и законных целей и не обрабатываются способом, несовместимым с этими целями;
• Минимизация данных — запрашиваются только те данные, которые необходимы для достижения заявленных целей;
• Точность — Оператор принимает меры для обеспечения актуальности и достоверности хранимых данных;
• Ограничение хранения — данные хранятся не дольше, чем это необходимо для достижения целей обработки;
• Целостность и конфиденциальность — применяются технические и организационные меры для защиты данных от несанкционированного доступа, уничтожения или изменения;
• Подотчётность — Оператор несёт ответственность за соблюдение всех перечисленных принципов.

4. Цели обработки персональных данных

Оператор обрабатывает персональные данные исключительно в следующих целях:

• Идентификация пользователя и обработка его обращения или заявки через форму обратной связи;
• Предоставление актуальной информации об услугах, продуктах и коммерческих предложениях Компании;
• Заключение, изменение и исполнение гражданско-правовых договоров об оказании услуг или поставке программных продуктов;
• Выставление счетов, ведение бухгалтерского и налогового учёта в соответствии с законодательством РФ;
• Техническая поддержка пользователей арендованных решений;
• Направление информационных, сервисных и маркетинговых уведомлений (при наличии явного согласия);
• Анализ и улучшение работы Сайта и IT-продуктов Компании;
• Обеспечение безопасности Сайта и предотвращение мошеннических действий;
• Выполнение требований законодательства Российской Федерации, в том числе в части хранения документов.

5. Перечень обрабатываемых персональных данных

5.1. Данные, предоставляемые пользователем самостоятельно:

• Фамилия, имя, отчество (полностью или частично);
• Адрес электронной почты;
• Номер телефона;
• Наименование организации и должность (при указании в обращении);
• Содержание сообщения или обращения.

5.2. Данные, собираемые автоматически при использовании Сайта:

• IP-адрес устройства;
• Тип и версия браузера, операционная система;
• Страницы Сайта, посещённые в рамках сессии;
• Дата, время и продолжительность визита;
• Источник перехода (реферер);
• Данные файлов cookie (см. раздел 14).

5.3. Данные, не обрабатываемые Оператором:

Оператор не запрашивает и не обрабатывает специальные категории персональных данных: расовое и этническое происхождение, политические взгляды, религиозные убеждения, состояние здоровья, биометрические данные, данные о судимости.

6. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

• Согласие субъекта (ст. 6 ч. 1 п. 1 ФЗ-152) — при заполнении формы обратной связи, подписке на рассылку;
• Исполнение договора (ст. 6 ч. 1 п. 5 ФЗ-152) — при заключении и исполнении договоров аренды или поставки IT-решений;
• Выполнение юридического обязательства (ст. 6 ч. 1 п. 2 ФЗ-152) — для соблюдения требований налогового, бухгалтерского и архивного законодательства;
• Законные интересы оператора (ст. 6 ч. 1 п. 7 ФЗ-152) — для обеспечения безопасности Сайта, предотвращения мошенничества, анализа работы сервиса;
• Защита жизненно важных интересов (ст. 6 ч. 1 п. 6 ФЗ-152) — в исключительных случаях.

Согласие на обработку данных может быть отозвано субъектом в любой момент путём направления письменного запроса на адрес info@amtp.net. Отзыв согласия не влияет на законность обработки, осуществлённой до момента его отзыва.

7. Порядок и способы сбора данных

Персональные данные собираются следующими способами:

• Форма обратной связи на Сайте — при заполнении и отправке формы на странице «Контакты»; поля «Имя» и «Email» являются обязательными, «Телефон» — необязательным;
• Электронная почта — при направлении письма на адрес info@amtp.net;
• Телефонные обращения — при звонке на номер +7 (922) 943-80-74; переговоры могут фиксироваться в целях контроля качества сервиса;
• Мессенджеры — при обращении через Telegram (@amtp_net) или MAX (@amtp);
• Заключение договора — при подписании договоров данные вносятся в документы в рамках обязательных реквизитов;
• Cookies и автоматический сбор — при посещении Сайта через браузер.

Предоставление данных является добровольным. Непредоставление обязательных полей формы лишает возможности получить ответ. Оператор не осуществляет сбор данных из открытых источников без уведомления субъекта.

8. Хранение и защита персональных данных

8.1. Место хранения. Персональные данные обрабатываются и хранятся на серверах Оператора, физически расположенных в собственном дата-центре: Россия, Кировская область, г. Киров. Обработка данных на территории иностранных государств не осуществляется без уведомления субъекта.

8.2. Технические меры защиты:

• Шифрование каналов передачи данных по протоколу TLS 1.2/1.3 (HTTPS);
• Шифрование баз данных at-rest (алгоритм AES-256);
• Многоуровневая система межсетевых экранов (Firewall + iptables + fail2ban);
• Защита от DDoS-атак уровней L3–L7 посредством DDoS-Guard и аппаратного Mitigator;
• Регулярное резервное копирование (ежедневно, с инкрементальными копиями каждые 6 часов);
• Антивирусная защита и системы обнаружения вторжений (IDS/IPS);
• Мониторинг целостности файловой системы;
• Аудит действий администраторов с хранением логов не менее 12 месяцев.

8.3. Организационные меры защиты:

• Разграничение прав доступа сотрудников по принципу минимальных привилегий;
• Регулярный инструктаж персонала по вопросам защиты персональных данных;
• Назначение ответственного за организацию обработки персональных данных;
• Ведение внутреннего реестра операций с персональными данными;
• Контроль физического доступа к серверному оборудованию.

8.4. Сроки хранения:

• Данные из договорных отношений — в течение срока действия договора + 5 лет после его окончания (в соответствии с требованиями к хранению первичных документов);
• Данные из обращений, не повлёкших заключения договора — 3 года;
• Данные, обрабатываемые на основании согласия — до отзыва согласия;
• Технические логи (IP-адреса, действия на Сайте) — 12 месяцев;
• Cookie — согласно настройкам браузера; сессионные cookie удаляются по окончании сессии.

По истечении срока хранения персональные данные уничтожаются или обезличиваются в порядке, исключающем возможность их восстановления.

9. Передача персональных данных третьим лицам

Оператор не продаёт, не сдаёт в аренду и не раскрывает персональные данные третьим лицам в коммерческих целях. Передача возможна только в следующих случаях:

• По законному требованию государственных органов — суда, прокуратуры, ФНС, Роскомнадзора и иных уполномоченных органов в установленном законом порядке;
• Для исполнения договорных обязательств — при привлечении субподрядчиков или партнёров, с которыми заключены соглашения о конфиденциальности;
• Для доставки сообщений — при обработке форм сайта данные могут передаваться в сервис уведомлений (MAX Bot API) исключительно для доставки сообщения Оператору; данные не сохраняются на серверах сервиса дольше, чем необходимо для доставки;
• С явного согласия субъекта — в иных случаях, когда субъект дал письменное согласие на такую передачу;
• Для защиты прав — при необходимости защиты законных интересов Оператора в судебном или претензионном порядке.

При передаче данных третьим лицам Оператор обеспечивает надлежащий уровень их защиты, в том числе путём включения соответствующих условий в договоры.

10. Трансграничная передача персональных данных

В соответствии со ст. 12 ФЗ-152, трансграничная передача персональных данных (передача на территорию иностранного государства) Оператором не осуществляется в штатном режиме.

Все серверы, на которых хранятся персональные данные, физически расположены на территории Российской Федерации.

В случае необходимости трансграничной передачи (например, при работе с иностранными контрагентами) Оператор обеспечивает, что:

• Передача осуществляется только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных;
• Субъект уведомляется о трансграничной передаче и даёт явное согласие;
• Оператор направляет уведомление в Роскомнадзор в установленном порядке.

11. Права субъектов персональных данных

В соответствии с ФЗ-152 (ст. 14–17) каждый субъект персональных данных имеет следующие права:

• Право на информацию — получить сведения о том, какие данные обрабатываются, на каком основании, в каких целях и в течение какого срока;
• Право на доступ — получить копию своих персональных данных, хранящихся у Оператора;
• Право на исправление — потребовать уточнения (исправления) неточных или неполных данных;
• Право на удаление («право быть забытым») — потребовать уничтожения данных при отсутствии законных оснований для их дальнейшей обработки;
• Право на блокирование — потребовать временного прекращения обработки данных на период проверки их точности или законности обработки;
• Право на отзыв согласия — в любой момент отозвать ранее данное согласие на обработку персональных данных;
• Право на возражение — возразить против обработки данных, осуществляемой на основании законных интересов Оператора;
• Право на жалобу — обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор;
• Право на судебную защиту — защищать свои права и законные интересы в суде.

Для реализации любого из указанных прав направьте запрос по адресу электронной почты info@amtp.net с темой письма «Запрос субъекта персональных данных». Ответ предоставляется в течение 30 календарных дней.

12. Автоматизированное принятие решений

Оператор не осуществляет принятие решений, влекущих юридические или иные существенные последствия для субъектов персональных данных, исключительно на основе автоматизированной обработки персональных данных без участия человека.

Все решения, связанные с обращениями клиентов, заключением договоров и предоставлением услуг, принимаются с участием уполномоченных сотрудников Компании.

Технические системы мониторинга Сайта могут автоматически блокировать IP-адреса при обнаружении признаков DDoS-атаки или спам-активности. Данные действия направлены на защиту инфраструктуры и не затрагивают права законопослушных пользователей. При ошибочной блокировке пользователь вправе обратиться по адресу info@amtp.net.

13. Данные несовершеннолетних

Сайт и услуги Компании предназначены для лиц, достигших 18 лет. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних.

Если Оператору стало известно, что персональные данные были предоставлены лицом младше 18 лет без согласия родителей или законных представителей, такие данные будут незамедлительно удалены.

Родители или законные представители вправе обратиться с требованием об удалении данных несовершеннолетнего по адресу info@amtp.net.

14. Файлы cookie и аналогичные технологии

Cookie — это небольшие текстовые файлы, сохраняемые браузером на устройстве пользователя. Сайт использует следующие категории cookie:

Управление cookie: вы можете настроить или отключить cookie в настройках вашего браузера. Отключение технических cookie может нарушить корректную работу Сайта. Настройки cookie индивидуальны для каждого браузера и устройства.

Cookie не содержат сведений, позволяющих непосредственно идентифицировать вас лично (ФИО, адрес электронной почты и т.п.).

15. Инциденты информационной безопасности

В случае выявления инцидента, повлёкшего несанкционированный доступ к персональным данным (утечка, утрата, изменение), Оператор обязуется:

• В течение 24 часов с момента обнаружения инцидента уведомить Роскомнадзор в соответствии с требованиями ст. 21 ФЗ-152 и Постановления Правительства РФ № 1796 от 13.10.2022;
• В течение 72 часов уведомить Роскомнадзор о результатах внутреннего расследования;
• При наличии значительного риска для прав субъектов — уведомить затронутых субъектов персональных данных в разумные сроки;
• Принять все необходимые меры для локализации инцидента и устранения его последствий;
• Провести внутреннее расследование и внести изменения в систему защиты для предотвращения повторных инцидентов.

Для сообщения об обнаруженных уязвимостях или инцидентах безопасности обращайтесь: info@amtp.net.

16. Сроки исполнения запросов субъектов

Оператор обрабатывает запросы субъектов персональных данных в следующие сроки:

Запросы направляются в письменной форме на адрес электронной почты info@amtp.net с пометкой «Запрос субъекта ПДн». Для идентификации личности Оператор вправе запросить подтверждающие документы.

17. Изменения настоящей Политики

Оператор оставляет за собой право в одностороннем порядке вносить изменения в настоящую Политику в связи с изменением законодательства, деятельности Компании или применяемых технологий.

Актуальная редакция Политики всегда доступна по адресу: https://amtp.net/privacy.php.

При внесении существенных изменений Оператор уведомляет пользователей путём:

• Размещения уведомления на главной странице Сайта;
• Направления уведомления на электронный адрес субъекта (при наличии и если это технически возможно).

Дата последнего обновления фиксируется в шапке документа. Продолжение использования Сайта после вступления в силу новой редакции Политики означает принятие её условий.

Предыдущие редакции Политики хранятся в архиве Компании и могут быть предоставлены по запросу.

18. Контактная информация

По всем вопросам, связанным с обработкой персональных данных, реализацией прав субъектов, а также при обнаружении нарушений настоящей Политики, обращайтесь:

Надзорный орган в сфере персональных данных: