Правила обработки персональных данных

ПУТВЕРЖДАЮ

Генеральный директор

ООО «Груп Атлантик Теплолюкс»

С.А. Лебедев

01 сентября 2022 г.

Политика Общества с ограниченной ответственностью «Груп Атлантик Теплолюкс»

в отношении обработки персональных данных

1. Общие положения
1.1. Настоящая Политика общества с ограниченной ответственностью «Груп Атлантик Теплолюкс» в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью «Груп Атлантик Теплолюкс» (далее – Оператор, ООО «Груп Атлантик Теплолюкс»).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (Оператор) – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Оператором является Общество с ограниченной ответственностью «Груп Атлантик Теплолюкс», ИНН 5029015168, адрес: 141008, Московская обл., г Мытищи, Проектируемый Проезд 5274, стр. 7, контактный телефон: +7 (495) 728-80-80;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
4) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «Груп Атлантик Теплолюкс» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели сбора персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
- осуществление своей деятельности в соответствии с уставом ООО «Груп Атлантик Теплолюкс», в том числе заключение и исполнение договоров с контрагентами, включая физических и юридических лиц;
- исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- осуществление пропускного режима.
2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
- устав ООО «Груп Атлантик Теплолюкс»;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- договоры, заключаемые между Оператором и контрагентами – юридическими лицами;
- согласие субъектов персональных данных на обработку их персональных данных.

4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные нижеперечисленных категорий субъектов персональных данных.
4.2.1. Кандидаты для приема на работу к Оператору – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- контактные данные;
- сведения об образовании, опыте работы, квалификации;
- иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, предоставления социального пакета, оплаты труда, осуществления пропускного режима:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- данные о регистрации брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения об удержании алиментов;
- сведения о доходе с предыдущего места работы;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. Члены семьи работников Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
- фамилия, имя, отчество;
- степень родства;
- год рождения;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.4. Клиенты и контрагенты Оператора (физические лица) – для целей осуществления своей деятельности в соответствии с уставом ООО «Груп Атлантик Теплолюкс», регистрации клиентов на сайте Оператора, пользования личным кабинетом, совершения сделок, осуществления рекламных кампаний, осуществления пропускного режима:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- замещаемая должность;
- индивидуальный номер налогоплательщика;
- номер расчетного счета;
- файлы куки (cookie);
- иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) – для целей осуществления своей деятельности в соответствии с уставом ООО «Груп Атлантик Теплолюкс», осуществления пропускного режима:
- фамилия, имя, отчество;
- паспортные данные;
- контактные данные;
- замещаемая должность;
- иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 Политики, осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.9.1. Персональные данные на бумажных носителях хранятся в ООО «Груп Атлантик Теплолюкс» в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.10. Оператор прекращает обработку персональных данных в следующих случаях:
- выявлен факт их неправомерной обработки. Срок – в течение трех рабочих дней с даты выявления;
- достигнута цель их обработки;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
5.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.12. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
5.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

6. Актуализация, исправление, удаление, уничтожение персональных данных,
ответы на запросы субъектов на доступ к персональным данным
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Формы запросов (обращений) субъектов персональных данных и их представителей приведены в приложениях № 1 - 4 к настоящей Политике.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.5. Порядок уничтожения персональных данных Оператором.
6.5.1. Условия и сроки уничтожения персональных данных Оператором:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, – в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, – в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в течение 30 дней.
6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Груп Атлантик Теплолюкс».
6.5.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.

Приложение № 1

Форма запроса/обращения субъекта персональных данных

(его представителя) по вопросу доступа к персональным данным

В ООО

«Груп Атлантик Теплолюкс»

ОГРН

1025003531662

ИНН

5029015168

Адрес:

141008, Московская область, г. Мытищи, Проектируемый проезд 5274, стр.7

От

^{(фамилия, имя, отчество)}

паспорт

выданный

^{(серия, номер})

^{(дата выдачи)}

^{(место выдачи паспорта)}

Адрес регистрации:

Адрес фактического проживания:

В соответствии с положениями ч. 7, ст. 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» прошу предоставить в мой адрес следующую информацию, касающуюся обработки моих персональных данных:
- подтверждение факта обработки персональных данных ООО «Груп Атлантик Теплолюкс»;
- правовые основания и цели обработки персональных данных;
- цели и применяемые ООО «Груп Атлантик Теплолюкс» способы обработки персональных данных;
- наименование и место нахождения ООО «Груп Атлантик Теплолюкс», сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «Груп Атлантик Теплолюкс» или на основании федерального закона;
- обрабатываемые персональные данные, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления моих прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «Груп Атлантик Теплолюкс», если обработка поручена или будет поручена такому лицу.

Указанную информацию прошу направить:

на бумажном носителе по адресу:

по адресу электронной почты:

^(дата)

^{(подпись)}

^{(Фамилия И.О.)}

Приложение № 2

Форма запроса/обращения субъекта персональных данных (его представителя)

по вопросу правомерности обработки персональных данных

В ООО

«Груп Атлантик Теплолюкс»

ОГРН

1025003531662

ИНН

5029015168

Адрес:

141008, Московская область, г. Мытищи, Проектируемый проезд 5274, стр.7
От

^{(фамилия, имя, отчество)}

паспорт

выданный

^{(серия, номер})

^{(дата выдачи)}

^{(место выдачи паспорта)}

Адрес регистрации:

Адрес фактического проживания:

В соответствии с положениями ст. 21 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» прошу предоставить в мой адрес сведения о правовых основаниях обработки моих персональных данных в ООО «Груп Атлантик Теплолюкс».

В случае подтверждения ООО «Груп Атлантик Теплолюкс» факта неправомерной обработки моих персональных данных, прошу прекратить обработку персональных данных в течение трех рабочих дней.

Сведения об обеспечении правомерности обработки моих персональных данных или об уничтожении персональных данных ООО «Груп Атлантик Теплолюкс» в случае из неправомерной обработки прошу направить:

на бумажном носителе по адресу:

по адресу электронной почты:

^(дата)

^{(подпись)}

^{(Фамилия И.О.)}

Приложение № 3

Форма запроса/обращения субъекта персональных данных (его представителя)

об уточнении персональных данных

В ООО

«Груп Атлантик Теплолюкс»

ОГРН

1025003531662

ИНН

5029015168

Адрес:

141008, Московская область, г. Мытищи, Проектируемый проезд 5274, стр.7
От

^{(фамилия, имя, отчество)}

паспорт

выданный

^{(серия, номер})

^{(дата выдачи)}

^{(место выдачи паспорта)}

Адрес регистрации:

Адрес фактического проживания:

В соответствии с положениями ст. 21 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и на основании:

^{(документ(ы) на основании которого(ых) Оператор обязан уточнить персональные данные)}

прошу произвести уточнение моих персональных данных либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ООО «Груп Атлантик Теплолюкс») согласно представленным документам.

Уведомление о внесенных изменениях прошу предоставить:

на бумажном носителе по адресу:

по адресу электронной почты:

^(дата)

^{(подпись)}

^{(Фамилия И.О.)}

Приложение № 4

Форма запроса/обращения субъекта персональных данных (его представителя)

по вопросу отзыва согласия на обработку персональных данных

В ООО

«Груп Атлантик Теплолюкс»

ОГРН

1025003531662

ИНН

5029015168

Адрес:

141008, Московская область, г. Мытищи, Проектируемый проезд 5274, стр.7
От

^{(фамилия, имя, отчество)}

паспорт

выданный

^{(серия, номер})

^{(дата выдачи)}

^{(место выдачи паспорта)}

Адрес регистрации:

Адрес фактического проживания:

В соответствии с частью 2 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» прошу прекратить обработку моих персональных данных, осуществляемую в целях:

^{(цели обработки персональных данных, в отношении которых отзывается согласие)}

по причине

^{(указать причину отзыва согласия)}

ООО «Груп Атлантик Теплолюкс» вправе продолжить обработку моих персональных данных при наличии при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

^(дата)

^{(подпись)}

^{(Фамилия И.О.)}

AAPPROVED

General Director

LLC “Group Atlantic Teplolux”

S.A. Lebedev

September 1, 2022

### Policy of Limited Liability Company “Group Atlantic Teplolux” Regarding the Processing of Personal Data

#### 1. General Provisions

1.1. This Policy of Limited Liability Company “Group Atlantic Teplolux” regarding the processing of personal data (hereinafter referred to as the “Policy”) has been developed in accordance with Clause 2, Part 1, Article 18.1 of the Federal Law No. 152-FZ "On Personal Data" dated July 27, 2006 (hereinafter referred to as the “Personal Data Law”) to ensure the protection of human and civil rights and freedoms during the processing of personal data, including the protection of the right to privacy, personal and family confidentiality.

1.2. The Policy applies to all personal data processed by Limited Liability Company “Group Atlantic Teplolux” (hereinafter referred to as the “Operator” or LLC “Group Atlantic Teplolux”).

1.3. The Policy covers personal data processing relations that have arisen both before and after the approval of this Policy.

1.4. Pursuant to Part 2, Article 18.1 of the Personal Data Law, this Policy is published in open access on the Internet on the Operator's website.

1.5. Basic terms used in the Policy:

- personal data – any information related directly or indirectly to an identified or identifiable natural person (personal data subject);

- personal data operator (Operator) – a legal entity that independently or jointly with other persons organizes and/or carries out the processing of personal data, as well as determines the purposes of personal data processing, the composition of personal data to be processed, and actions (operations) performed with personal data. The Operator is LLC “Group Atlantic Teplolux”, INN 5029015168, address: 141008, Moscow Region, Mytishchi, Proektirovanny Proezd 5274, bldg. 7, contact phone: +7 (495) 728-80-80;

- personal data processing – any action (operation) or a set of actions (operations) performed with personal data, with or without the use of automated means. Personal data processing includes, but is not limited to:

- collection;

- recording;

- systematization;

- accumulation;

- storage;

- clarification (updating, modification);

- retrieval;

- use;

- transfer (distribution, provision, access);

- depersonalization;

- blocking;

- deletion;

- destruction;

- automated processing of personal data – processing of personal data using computer technology;

- dissemination of personal data – actions aimed at disclosing personal data to an indefinite number of persons;

- provision of personal data – actions aimed at disclosing personal data to a specific person or a specific circle of persons;

- blocking of personal data – temporary cessation of personal data processing (except in cases where processing is necessary to clarify personal data);

- destruction of personal data – actions resulting in the impossibility to restore the content of personal data in the personal data information system and/or the destruction of tangible carriers of personal data;

- depersonalization of personal data – actions resulting in the impossibility to determine the identity of personal data without the use of additional information;

- personal data information system – a set of personal data contained in databases and ensuring their processing through information technologies and technical means.

1.6. Main rights and obligations of the Operator.

1.6.1. The Operator has the right to:

1) independently determine the composition and list of measures necessary and sufficient to ensure the fulfillment of obligations stipulated by the Personal Data Law and regulatory legal acts adopted in accordance with it, unless otherwise provided by the Personal Data Law or other federal laws;

2) entrust the processing of personal data to another person with the consent of the personal data subject, unless otherwise provided by federal law, on the basis of a contract concluded with that person. The person processing personal data on behalf of the Operator must adhere to the principles and rules of personal data processing stipulated by the Personal Data Law, maintain the confidentiality of personal data, and take the necessary measures to ensure the fulfillment of obligations stipulated by the Personal Data Law;

3) in the event of the personal data subject’s withdrawal of consent for the processing of personal data, the Operator has the right to continue processing personal data without the subject’s consent if there are grounds specified in the Personal Data Law.

1.6.2. The Operator is obligated to:

1) organize the processing of personal data in accordance with the requirements of the Personal Data Law;

2) respond to requests and inquiries from personal data subjects and their legal representatives in accordance with the requirements of the Personal Data Law;

3) report to the authorized body for the protection of the rights of personal data subjects (Federal Service for Supervision of Communications, Information Technology and Mass Media (Roskomnadzor)) at the request of this body, providing the necessary information within 10 business days from the date of receipt of such a request. This period may be extended, but not more than five business days. For this, the Operator must send a reasoned notification to Roskomnadzor indicating the reasons for extending the term for providing the requested information;

4) in the manner determined by the federal executive body authorized in the field of security, ensure interaction with the state system for detecting, preventing, and eliminating the consequences of computer attacks on the information resources of the Russian Federation, including informing about computer incidents that led to unlawful transfer (provision, dissemination, access) of personal data.

1.7. Main rights of the personal data subject. The personal data subject has the right to:

1) obtain information related to the processing of their personal data, except in cases provided for by federal laws. Information is provided to the personal data subject by the Operator in an accessible form, and should not contain personal data relating to other personal data subjects, except in cases where there are legitimate grounds for disclosing such personal data. The list of information and the procedure for obtaining it are established by the Personal Data Law;

2) demand from the Operator the clarification of their personal data, blocking or destruction of their personal data if the data is incomplete, outdated, inaccurate, unlawfully obtained, or is not necessary for the declared purpose of processing, as well as take legal measures to protect their rights;

3) give prior consent to the processing of personal data for the purpose of promoting goods, works, and services in the market;

4) file complaints with Roskomnadzor or seek judicial recourse regarding unlawful actions or omissions by the Operator in processing their personal data.

1.8. Control over compliance with this Policy is carried out by the person responsible for organizing the processing of personal data at the Operator.

1.9. Responsibility for violating the requirements of the legislation of the Russian Federation and the regulatory acts of LLC “Group Atlantic Teplolux” in the field of personal data processing and protection is determined in accordance with the legislation of the Russian Federation.

#### 2. Purposes of Collecting Personal Data

2.1. Personal data processing is limited to achieving specific, predetermined, and lawful purposes. Personal data processing incompatible with the purposes of personal data collection is not allowed.

2.2. Only personal data that meet the purposes of their processing are subject to processing.

2.3. The Operator processes personal data for the following purposes:

- carrying out activities in accordance with the charter of LLC “Group Atlantic Teplolux”, including the conclusion and execution of contracts with counterparties, including individuals and legal entities;

- compliance with labor legislation in the framework of labor and other directly related relations, including: assisting employees in finding employment, obtaining education, and career advancement, attracting and selecting candidates for work at the Operator, ensuring the personal safety of employees, monitoring the quantity and quality of work performed, ensuring the safety of property, maintaining personnel and accounting records, filling out and submitting required forms to authorized bodies, organizing the registration of employees in the mandatory pension insurance system;

- implementation of access control.

2.4. Processing of employees' personal data can be carried out solely for the purpose of ensuring compliance with laws and other regulatory legal acts.

#### 3. Legal Grounds for Processing Personal Data

3.1. The legal grounds for processing personal data are the set of regulatory legal acts under which and in accordance with which the Operator processes personal data, including:

- the Constitution of the Russian Federation;

- the Civil Code of the Russian Federation;

- the Labor Code of the Russian Federation;

- the Tax Code of the Russian Federation;

- Federal Law No. 14-FZ "On Limited Liability Companies" dated February 8, 1998;

- Federal Law No. 402-FZ "On Accounting" dated December 6, 2011;

- Federal Law No. 167-FZ "On Compulsory Pension Insurance in the Russian Federation" dated December 15, 2001;

- other regulatory legal acts governing relations related to the Operator's activities.

3.2. The legal grounds for processing personal data are also:

- the charter of LLC “Group Atlantic Teplolux”;

- contracts concluded between the Operator and personal data subjects;

- contracts concluded between the Operator and counterparties – legal entities;

- consent of personal data subjects to the processing of their personal data.

#### 4. Scope and Categories of Personal Data Processed, Categories of Personal Data Subjects

4.1. The content and volume of processed personal data should correspond to the declared purposes of processing specified in Section 2 of this Policy. The processed personal data should not be excessive in relation to the declared purposes of their processing.

4.2. The Operator may process personal data of the following categories of personal data subjects:

4.2.1. Candidates for employment at the Operator – for the purpose of complying with labor legislation within the framework of labor and other directly related relations, implementing access control:

- last name, first name, patronymic;

- gender;

- citizenship;

- date and place of birth;

- contact details;

- information on education, work experience, qualifications;

- other personal data provided by candidates in resumes and cover letters.

4.2.2. Employees and former employees of the Operator – for the purpose of complying with labor legislation within the framework of labor and other directly related relations, providing a social package, paying salaries, implementing access control:

- last name, first name, patronymic;

- gender;

- citizenship;

- date and place of birth;

- passport details;

- address of residence registration;

- actual residence address;

- contact details;

- individual taxpayer number (INN);

- insurance number of an individual personal account (SNILS);

- information on education, qualifications, professional training and retraining;

- marital status, presence of children, family ties;

- information on employment activities, including the presence of rewards, awards and/or disciplinary sanctions;

- data on marriage registration;

- information on military registration;

- information on disability;

- information on alimony withholding;

- information on income from the previous place of work;

- other personal data provided by employees in accordance with labor law requirements.

4.2.3. Family members of the Operator's employees – for the purpose of complying with labor legislation within the framework of labor and other directly related relations:

- last name, first name, patronymic;

- degree of relationship;

- year of birth;

- other personal data provided by employees in accordance with labor law requirements.

4.2.4. Clients and counterparties of the Operator (individuals) – for the purpose of carrying out activities in accordance with the charter of LLC “Group Atlantic Teplolux”, registering clients on the Operator's website, using a personal account, conducting transactions, implementing advertising campaigns, implementing access control:

- last name, first name, patronymic;

- date and place of birth;

- passport details;

- address of residence registration;

- actual residence address;

- contact details;

- position held;

- individual taxpayer number (INN);

- bank account number;

- cookie files;

- other personal data provided by clients and counterparties (individuals) necessary for the conclusion and execution of contracts.

4.2.5. Representatives (employees) of the Operator's clients and counterparties (legal entities) – for the purpose of carrying out activities in accordance with the charter of LLC “Group Atlantic Teplolux”, implementing access control:

- last name, first name, patronymic;

- passport details;

- contact details;

- position held;

- other personal data provided by representatives (employees) of clients and counterparties necessary for the conclusion and execution of contracts.

4.3. The processing of biometric personal data (data characterizing the physiological and biological features of a person, based on which the person’s identity can be established) is carried out by the Operator in accordance with the legislation of the Russian Federation.

4.4. The Operator does not process special categories of personal data related to race, nationality, political views, religious or philosophical beliefs, health status, intimate life, except in cases provided by Russian law.

#### 5. Procedure and Conditions for Processing Personal Data

5.1. Personal data processing is carried out by the Operator in accordance with the legislation of the Russian Federation.

5.2. Personal data processing is carried out with the consent of the personal data subjects for the processing of their personal data, as well as without such consent in cases provided by the legislation of the Russian Federation.

5.3. The Operator processes personal data for each purpose of their processing using the following methods:

- non-automated personal data processing;

- automated personal data processing with the transfer of received information via information and telecommunication networks or without such transfer;

- mixed personal data processing.

5.4. Employees of the Operator, whose job duties include the processing of personal data, are allowed to process personal data.

5.5. Personal data processing for each purpose of processing specified in Clause 2.3 of the Policy is carried out by:

- obtaining personal data in oral and written form directly from personal data subjects;

- entering personal data into the Operator's logs, registries, and information systems;

- using other methods of personal data processing.

5.6. It is not allowed to disclose personal data to third parties and distribute personal data without the consent of the personal data subject, unless otherwise provided by federal law. Consent to the processing of personal data permitted by the personal data subject for dissemination is issued separately from other consents of the personal data subject to the processing of their personal data.

Requirements for the content of consent to the processing of personal data permitted by the personal data subject for dissemination are approved by Roskomnadzor Order No. 18 dated February 24, 2021.

5.7. Transfer of personal data to investigative and inquiry bodies, the Federal Tax Service, the Pension Fund of the Russian Federation, the Social Insurance Fund, and other authorized executive authorities and organizations is carried out in accordance with the requirements of the legislation of the Russian Federation.

5.8. The Operator takes the necessary legal, organizational, and technical measures to protect personal data from unauthorized or accidental access, destruction, modification, blocking, dissemination, and other unauthorized actions, including:

- identifying personal data security threats during their processing;

- adopting local regulations and other documents governing relations in the field of personal data processing and protection;

- appointing persons responsible for ensuring the security of personal data in the Operator's structural divisions and information systems;

- creating the necessary conditions for working with personal data;

- organizing the accounting of documents containing personal data;

- organizing work with information systems in which personal data is processed;

- storing personal data under conditions that ensure their safety and exclude unauthorized access to them;

- organizing training for the Operator's employees involved in personal data processing.

5.9. The Operator stores personal data in a form that allows identifying the personal data subject no longer than is required for each purpose of personal data processing, unless the storage period for personal data is established by federal law or contract.

5.9.1. Personal data on paper is stored at LLC “Group Atlantic Teplolux” during the storage periods of documents established by the legislation on archival affairs in the Russian Federation (Federal Law No. 125-FZ "On Archival Affairs in the Russian Federation" dated October 22, 2004, List of typical management archival documents formed in the activities of state bodies, local government bodies, and organizations, with an indication of their storage periods (approved by Rosarkhiv Order No. 236 dated December 20, 2019)).

5.9.2. The storage period for personal data processed in personal data information systems corresponds to the storage period for personal data on paper.

5.10. The Operator terminates personal data processing in the following cases:

- the fact of their unlawful processing is revealed. Term – within three business days from the date of detection;

- the purpose of their processing has been achieved;

- the validity period or the personal data subject's consent to the processing of these data has expired or been withdrawn, when the processing of these data is permitted only with consent under the Personal Data Law.

5.11. Upon achieving the purposes of personal data processing, as well as in the event of withdrawal of consent to the processing of personal data by the personal data subject, the Operator terminates the processing of these data, unless:

- otherwise provided by the contract, to which the personal data subject is a party, beneficiary, or guarantor;

- the Operator is not entitled to process personal data without the personal data subject's consent on the grounds specified in the Personal Data Law or other federal laws;

- otherwise provided by another agreement between the Operator and the personal data subject.

5.12. Upon the personal data subject’s request to the Operator to cease processing personal data, the processing of personal data is terminated within 10 business days from the date of receipt of the corresponding request by the Operator, except in cases provided by the Personal Data Law. This period may be extended, but not more than five business days. To do this, the Operator must send the personal data subject a reasoned notification indicating the reasons for the extension.

5.13. When collecting personal data, including via the information and telecommunication network Internet, the Operator ensures the recording, systematization, accumulation, storage, clarification (updating, modification), and retrieval of personal data of citizens of the Russian Federation using databases located on the territory of the Russian Federation, except in cases specified in the Personal Data Law.

#### 6. Updating, Correction, Deletion, Destruction of Personal Data, Responses to Requests from Personal Data Subjects for Access to Personal Data

6.1. Confirmation of the fact of personal data processing by the Operator, the legal grounds and purposes of personal data processing, as well as other information specified in Part 7, Article 14 of the Personal Data Law, are provided by the Operator to the personal data subject or their representative within 10 business days from the date of the request from the personal data subject or their representative. This period may be extended, but not more than five business days. For this, the Operator must send the personal data subject a reasoned notification indicating the reasons for extending the term for providing the requested information.

The request must include:

- the number of the main identity document of the personal data subject or their representative, information about the date of issue of this document and the issuing authority;

- information confirming the participation of the personal data subject in relations with the Operator (contract number, date of contract conclusion, conditional verbal designation and/or other information), or information otherwise confirming the fact of personal data processing by the Operator;

- the signature of the personal data subject or their representative.

The request may be sent in the form of an electronic document and signed with an electronic signature in accordance with the legislation of the Russian Federation.

The Operator provides the information specified in Part 7, Article 14 of the Personal Data Law to the personal data subject or their representative in the form in which the corresponding request was sent, unless otherwise specified in the request.

If the request of the personal data subject does not reflect all the necessary information as required by the Personal Data Law, or if the subject does not have the right to access the requested information, a reasoned refusal is sent to them.

The right of the personal data subject to access their personal data may be restricted in accordance with Part 8, Article 14 of the Personal Data Law, including if the personal data subject's access to their personal data violates the rights and legitimate interests of third parties.

The forms of requests (applications) from personal data subjects and their representatives are provided in Appendices No. 1 - 4 to this Policy.

6.2. If inaccurate personal data is identified upon the request of the personal data subject or their representative or upon their request or the request of Roskomnadzor, the Operator blocks the personal data related to this personal data subject from the moment of such request or receipt of the specified request for the verification period, if blocking personal data does not violate the rights and legitimate interests of the personal data subject or third parties.

If the fact of inaccuracy of personal data is confirmed, the Operator, based on the information provided by the personal data subject or their representative or Roskomnadzor, or other necessary documents, clarifies the personal data within seven business days from the date of submission of such information and removes the blocking of personal data.

6.3. If unlawful processing of personal data is identified upon the request of the personal data subject or their representative or Roskomnadzor, the Operator blocks the unlawfully processed personal data related to this personal data subject from the moment of such request or receipt of the request.

6.4. If the fact of unlawful or accidental transfer (provision, dissemination) of personal data (access to personal data) resulting in a violation of the rights of personal data subjects is identified by the Operator, Roskomnadzor, or another interested party, the Operator shall:

- within 24 hours, notify Roskomnadzor of the incident, the alleged causes that led to the violation of the rights of personal data subjects, the alleged harm caused to the rights of personal data subjects, and the measures taken to eliminate the consequences of the incident, as well as provide information about the person authorized by the Operator to interact with Roskomnadzor on issues related to the incident;

- within 72 hours, notify Roskomnadzor of the results of the internal investigation of the identified incident and provide information about the persons whose actions caused it (if available).

6.5. The procedure for the destruction of personal data by the Operator.

6.5.1. Conditions and terms for the destruction of personal data by the Operator:

- achieving the purpose of personal data processing or losing the necessity to achieve this purpose – within 30 days;

- reaching the maximum storage periods of documents containing personal data – within 30 days;

- providing by the personal data subject (their representative) confirmation that the personal data was obtained unlawfully or is not necessary for the declared purpose of processing – within seven business days;

- withdrawal by the personal data subject of consent to the processing of their personal data, if its retention for the purpose of processing is no longer required – within 30 days.

6.5.2. When the purpose of personal data processing is achieved, as well as in the event of withdrawal of consent to the processing of personal data by the personal data subject, personal data is subject to destruction unless:

- otherwise provided by the contract, to which the personal data subject is a party, beneficiary, or guarantor;

- the Operator is not entitled to process personal data without the personal data subject's consent on the grounds specified in the Personal Data Law or other federal laws;

- otherwise provided by another agreement between the Operator and the personal data subject.

6.5.3. The destruction of personal data is carried out by a commission established by the order of the General Director of LLC “Group Atlantic Teplolux”.

6.5.4. Methods of personal data destruction are established in the Operator's local regulatory acts.

---

### Appendix No. 1

Form of Request/Application from the Personal Data Subject (or their Representative) Regarding Access to Personal Data

To:

LLC "Group Atlantic Teplolux"

OGRN 1025003531662

INN 5029015168

Address:

141008, Moscow Region, Mytishchi, Proektirovanny Proezd 5274, bldg. 7

From:

(full name)

passport

issued by

(series, number)

(date of issue)

(place of issue of the passport)

Address of registration:

(enter address)

Actual address of residence:

(enter address)

In accordance with the provisions of Part 7, Article 14 of Federal Law No. 152-FZ "On Personal Data" dated July 27, 2006, I request the following information regarding the processing of my personal data:

- confirmation of the fact of processing of personal data by LLC "Group Atlantic Teplolux";

- legal grounds and purposes of personal data processing;

- purposes and methods of personal data processing used by LLC "Group Atlantic Teplolux";

- name and location of LLC "Group Atlantic Teplolux", information about persons who have access to personal data or to whom personal data may be disclosed on the basis of a contract with LLC "Group Atlantic Teplolux" or on the basis of federal law;

- processed personal data, source of their receipt;

- duration of personal data processing, including storage periods;

- procedure for exercising my rights provided by Federal Law No. 152-FZ "On Personal Data" dated July 27, 2006;

- information on the performed or expected cross-border data transfer;

- name or full name and address of the person processing personal data on behalf of LLC "Group Atlantic Teplolux" if the processing is entrusted or will be entrusted to such person.

Please send the requested information to:

- on paper to the address:

(enter address)

- to the email address:

(enter email address)

(date)

(signature)

(Full Name)

---

### Appendix No. 2

Form of Request/Application from the Personal Data Subject (or their Representative) Regarding the Lawfulness of Personal Data Processing

To:

LLC "Group Atlantic Teplolux"

OGRN 1025003531662

INN 5029015168

Address:

141008, Moscow Region, Mytishchi, Proektirovanny Proezd 5274, bldg. 7

From:

(full name)

passport

issued by

(series, number)

(date of issue)

(place of issue of the passport)

Address of registration:

(enter address)

Actual address of residence:

(enter address)

In accordance with the provisions of Article 21 of Federal Law No. 152-FZ "On Personal Data" dated July 27, 2006, I request to provide information on the legal grounds for processing my personal data in LLC "Group Atlantic Teplolux".

In case LLC "Group Atlantic Teplolux" confirms the fact of unlawful processing of my personal data, I request to stop processing the personal data within three business days.

Information on ensuring the legality of processing my personal data or the destruction of personal data by LLC "Group Atlantic Teplolux" in case of their unlawful processing, please send to:

- on paper to the address:

(enter address)

- to the email address:

(enter email address)

(date)

(signature)

(Full Name)

---

### Appendix No. 3

Form of Request/Application from the Personal Data Subject (or their Representative) Regarding the Clarification of Personal Data

To:

LLC "Group Atlantic Teplolux"

OGRN 1025003531662

INN 5029015168

Address:

141008, Moscow Region, Mytishchi, Proektirovanny Proezd 5274, bldg. 7

From:

(full name)

passport

issued by

(series, number)

(date of issue)

(place of issue of the passport)

Address of registration:

(enter address)

Actual address of residence:

(enter address)

In accordance with the provisions of Article 21 of Federal Law No. 152-FZ "On Personal Data" dated July 27, 2006, and based on the following document(s):

(document(s) based on which the Operator must clarify personal data)

I request to clarify my personal data or ensure their clarification (if personal data processing is carried out by another person acting on behalf of LLC "Group Atlantic Teplolux") in accordance with the provided documents.

Please send the notification of changes made:

- on paper to the address:

(enter address)

- to the email address:

(enter email address)

(date)

(signature)

(Full Name)

---

### Appendix No. 4

Form of Request/Application from the Personal Data Subject (or their Representative) Regarding the Withdrawal of Consent to Personal Data Processing

To:

LLC "Group Atlantic Teplolux"

OGRN 1025003531662

INN 5029015168

Address:

141008, Moscow Region

, Mytishchi, Proektirovanny Proezd 5274, bldg. 7

From:

(full name)

passport

issued by

(series, number)

(date of issue)

(place of issue of the passport)

Address of registration:

(enter address)

Actual address of residence:

(enter address)

In accordance with Part 2, Article 9 of Federal Law No. 152-FZ "On Personal Data" dated July 27, 2006, I request to stop processing my personal data carried out for the following purposes:

(purposes of personal data processing for which consent is being withdrawn)

Due to:

(state the reason for withdrawing consent)

LLC "Group Atlantic Teplolux" is entitled to continue processing my personal data if there are grounds specified in paragraphs 2–11, Part 1, Article 6, Part 2, Article 10, and Part 2, Article 11 of Federal Law No. 152-FZ "On Personal Data" dated July 27, 2006.