Политика в отношении обработки и защиты персональных данных ООО «Красцветмет. ИТ»
Владелец документа: управление информационной безопасности.
Документ, подлежащий отмене: Политика в отношении обработки и защиты персональных данных ООО «Красцветмет.ИТ» (утверждена приказом от 01.08.2022
№ИТ-22-по-12).
1. Целью данной политики в отношении обработки и защиты персональных данных (далее – Политика) является:
— определение порядка обработки и защиты персональных данных работников ООО «Красцветмет. ИТ» (далее – Красцветмет. ИТ) и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий Красцветмет. ИТ;
— обеспечение защиты прав и свобод человека и гражданина;
— защита прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, в Красцветмет. ИТ.
2. Целью создания системы защиты персональных данных в Красцветмет. ИТ является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий, путем обеспечения:
— конфиденциальности;
— целостности;
— доступности;
— невозможности отказа от авторства;
— учета;
— аутентичности;
— адекватности.
1. Ответственность за разработку и введение положения несет владелец документа.
1 ОБЩИЕ ПОЛОЖЕНИЯ
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных. К биометрическим персональным данным относится, в частности, фото-, видеоизображение субъекта персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Должностное лицо – работник Красцветмет. ИТ, уполномоченный осуществлять обработку персональных данных субъектов персональных данных и несущий все установленные законодательством виды ответственности за нарушение порядка обработки и сохранности персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
— сбор;
— запись;
— систематизацию;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение;
— использование;
— передачу (распространение, предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение персональных данных.
Общедоступные источники персональных данных – источники персональных данных (в том числе справочники, адресные книги), к которым не ограничен доступ третьих лиц и работников Красцветмет. ИТ. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, номер рабочего и\или личного телефона, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Оператор – Красцветмет. ИТ, самостоятельно или совместно с другими юридическими и физическими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством РФ.
Посетитель сайта – лицо, имеющее доступ к сайту Оператора посредством информационно-телекоммуникационной сети «Интернет» и использующее Сайт.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, заключившее трудовой договор с Красцветмет. ИТ (работодателем, Оператором).
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
Субъект персональных данных – физическое лицо, чьи персональные данные обрабатывает Оператор.
Технические средства, позволяющие осуществлять обработку персональных данных – специальное оборудование, к которому относятся:
— средства вычислительной техники;
— информационно-вычислительные комплексы и сети;
— средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие средства обработки речевой, графической и буквенно-цифровой информации);
— программные средства (операционные системы, системы управления базами данных и прочее);
— средства защиты информации, применяемые в информационных системах.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угроза безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах.
Cookie – небольшой фрагмент данных, отправленный веб-сервером и хранимый на устройстве Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
2 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В случае, если действующее законодательство РФ будет содержать иное определение термина, для регулирования порядка обработки и защиты персональных данных, установленных настоящей Политикой и иными нормативными актами Красцветмет. ИТ, применяется определение, установленное законодательством РФ.
4.1 Обработка персональных данных должна осуществляться на законной и справедливой основе.
4 ПРИНЦИПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.3 Цели обработки персональных данных отражаются в локальных нормативных актах Красцветмет. ИТ, регулирующих порядок обработки и защиты персональных данных, а также в согласиях субъектов персональных данных.
4.5 При сборе персональных данных, в том числе посредством сети «Интернет», Красцветмет. ИТ обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в законодательстве РФ.
4.6 При обработке персональных данных Красцветмет. ИТ обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Красцветмет. ИТ предпринимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных персональных данных.
4.7 Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством РФ.
4.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.4 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Для соблюдения данного принципа в Красцветмет. ИТ применяются различные информационные системы, позволяющие разделить допуск должностных лиц к тем или иным персональным данным субъектов, необходимых должностным лицам, для осуществления своих трудовых функций.
5.1 Правовым основанием обработки персональных данных для Красцветмета является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Красцветмет осуществляет обработку персональных данных, в том числе:
— Конституция Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
— Федеральный закон от 18.07.2006 №109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
— Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;
— Федеральный закон от 02.10.2007 №229-ФЗ «Об исполнительном производстве»;
— Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Приказ Роскомнадзора от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
— Приказ Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
— Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Красцветмет. ИТ и организацией процесса обработки и защиты персональных данных.
5 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным разделом 8 настоящей Политики.
6 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9 АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
УТВЕРЖДЕНО приказом от 29.06.2023 № ИТ-23-по-190
Область применения
3. Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает Красцветмет. ИТ, и раскрывает основные категории персональных данных, цели, способы и принципы обработки персональных данных, права и обязанности Красцветмет. ИТ при обработке персональных данных, права субъектов персональных данных.
4. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Красцветмет. ИТ при обработке персональных данных и подлежит опубликованию на официальном сайте Красцветмет. ИТ для обеспечения неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, а также на страницах сайтов Красцветмет. ИТ в сети «Интернет», с использованием которых осуществляется сбор персональных данных.
5. Субъекты персональных данных, чьи данные обрабатываются Красцветмет. ИТ самостоятельно ознакамливаются с данной Политикой, размещенной на официальном сайте Красцветмет.ИТ.
6. Цели обработки, категории субъектов, объем и категории обрабатываемых персональных данных отражаются в локальных нормативных актах Красцветмет. ИТ, регулирующими порядок обработки и защиты персональных данных, а также в согласиях субъектов персональных данных (оформляемых в случае требований законодательства РФ).
7. Данная Политика вступает в действие с даты ее утверждения уполномоченным лицом и действует до ее отмены.
8. Действие настоящей Политики распространяется на всех работников компании, а также работников иных организаций, которые получили доступ к информационным ресурсам компании, содержащим персональные данные, в соответствии со своими должностными обязанностями и заключенными договорами.
Ответственность
2. Ответственность за регистрацию и обеспечение доступа к Политике в информационной системе несет сотрудник компании, на которого возложены данные обязанности.
3. Ответственность за соблюдение требований законодательства РФ, данной Политики и иных локальных актов Красцветмет. ИТ, регулирующих порядок обработки персональных данных, несут должностные лица Красцветмет. ИТ в пределах своих полномочий, определенных локальными актами Красцветмет. ИТ.
4. Общий контроль за соблюдением требований законодательства РФ, данной Политики и иных локальных нормативных актов Красцветмет. ИТ осуществляет уполномоченное лицо, ответственное за организацию обработки персональных данных в Красцветмет. ИТ.
5. Уполномоченным лица, ответственные за организацию обработки персональных данных и за обеспечение безопасности персональных данных, а также их ответственность определяются приказами и локальными нормативными актами Красцветмет. ИТ.
6. Руководители структурных подразделений несут ответственность за соблюдение установленных в Красцветмет. ИТ требований по защите персональных данных сотрудников своего подразделения.
7. Должностные лица Красцветмет. ИТ, допущенные к обработке персональных данных, несут персональную ответственность за соблюдение требований законодательства РФ и локальных нормативных актов Красцветмета по работе с персональными данными лиц, к обработке которых допущено данное должностное лицо.
8. За нарушение требований законодательства по защите персональных данных виновные лица могут быть привлечены в порядке, установленном законодательством РФ к уголовной, административной, гражданской, материальной, дисциплинарной ответственности.
3 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
ИСПДн – информационная система персональных данных;
Красцветмет. ИТ – ООО «Красцветмет. ИТ»;
ПДн – персональные данные;
Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченный орган по защите прав субъектов персональных данных.
5.2 Правовым основанием обработки персональных данных также являются:
— Устав Красцветмет. ИТ;
— договоры, заключаемые между оператором и субъектом персональных данных;
— согласие субъекта персональных данных на обработку его персональных данных.
6.2 Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом персональных данных Красцветмет. ИТ имеет право:
— отказать в их принятии;
— уничтожить в присутствии субъекта персональных данных;
— использовать свои типовые формы по сбору персональных данных для исключения сбора избыточных персональных данных.
6.3 Красцветмет. ИТ может обрабатывать персональные данные следующих категорий субъектов персональных данных:
— работники компании;
— родственники работников компании;
— представители работников компании;
— уволенные работники компании;
— соискатели;
— студенты;
— контрагенты;
— представители контрагентов;
— выгодоприобретатели по договорам;
— посетители сайта.
6.4 Красцветмет. ИТ не осуществляет обработку биометрических персональных данных.
6.5 Красцветмет. ИТ осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья субъектов персональных данных, в соответствии с законодательством РФ.
7 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Обработка Оператором персональных данных осуществляется в следующих целях:
— ведение кадрового учета;
— ведение бухгалтерского учета;
— подбор персонала (соискателей) на вакантные должности оператора;
— обеспечение прохождения ознакомительной, производственной или преддипломной практики;
— повышение квалификации, обучение, участие в конкурсах и выставках, получение удостоверений, свидетельств, документов о прохождении обучения;
— подготовка, заключение и исполнение гражданского-правового договора;
— подготовка, заключения, исполнения и прекращения договоров с контрагентами;
— продвижение товаров, работ, услуг на рынке;
— оформления электронной подписи;
— оформление доверенностей;
— страхование;
— исполнение социальных программ;
— осуществление бронирования билетов, проживания, трансферов;
— формирование аналитической отчетности;
— обеспечение автоматизированной обработки персональных данных, в том числе для обеспечения отказоустойчивости (резервного копирования);
— исполнение судебного акта;
— участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
— обеспечение соблюдения трудового законодательства РФ;
— обеспечение соблюдения законодательства РФ об исполнительном производстве;
— обеспечение соблюдения налогового законодательства РФ;
— передача информации в Социальный фонд России.
7.2 Перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований описаны в Приложении 1.
8 ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством РФ.
8.2 Обработка персональных данных субъектов включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
8.3 Красцветмет. ИТ осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных.
8.4 Красцветмет. ИТ не осуществляет трансграничную передачу персональных данных.
8.5 В Красцветмет. ИТ могут создаваться общедоступные источники персональных данных (сайт, информационный стенд). Персональные данные (фамилия, имя, отчество, должность, квалификация, год рождения, и др.) субъекта персональных данных могут включаться в такие источники только при наличии письменного согласия субъекта персональных данных.
8.6 К обработке персональных данных допускаются работники Красцветмет. ИТ, в должностные обязанности которых входит обработка персональных данных, а также работники иных организаций, с которыми заключены соответствующие договоры.
8.7 Если предоставление персональных данных является обязательным в соответствии с федеральным законом, работник Красцветмет. ИТ или работники иных организаций, с которыми заключены соответствующие договоры, осуществляющие сбор (получение) персональных данных непосредственно от субъектов персональных данных, обязаны разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
8.8 Обработка персональных данных для каждой цели обработки, указанной в разделе 8 настоящей Политики, осуществляется путем:
— получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
— внесения персональных данных в журналы, реестры и информационные системы Красцветмет. ИТ;
— использования иных способов обработки персональных данных.
8.9 Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При необходимости согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 №18.
8.10 Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства РФ.
8.11 Красцветмет. ИТ принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
8.12 Красцветмет. ИТ реализует меры по организации обработки и обеспечению безопасности персональных данных, обрабатываемых без средств автоматизации, в том числе:
— для каждой категории персональных данных определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ;
— обеспечено раздельное хранение персональных данных материальных носителей), обработка которых осуществляется в различных целях;
— соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ при хранении материальных носителей.
8.13 Реализуются меры по защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн), в том числе:
— определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
— определяется уровень защищенности персональных данных при их обработке в информационных системах;
— выполняются требования по защите персональных данных в ИСПДн в соответствии с определенными уровнями защищенности персональных данных;
— применяются необходимые средства защиты информации;
— осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
— осуществляется учет машинных носителей персональных данных;
— осуществляется обнаружение фактов НСД к персональным данным и принятие необходимых мер;
— осуществляется восстановление персональных данных, модифицированных или уничтоженных вследствие НСД к ним;
— устанавливаются правила доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в ИСПДн, там, где это необходимо;
— контролируются принимаемые меры по обеспечению безопасности персональных данных и уровень защищенности ИСПДн.
8.14 Принципы и требования по обеспечению безопасности персональных данных распространяются на все возможные форматы предоставления персональных данных, такие как:
— документы;
— изображения;
— файлы;
— почтовые сообщения;
— базы данных;
— записи базы данных;
— другие информационные массивы.
8.15 Красцветмет. ИТ осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
8.16 Персональные данные на бумажных носителях хранятся в Красцветмет. ИТ в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ. В этом случае субъект персональных данных не может запретить обработку персональных данных или отозвать персональные данные, обработку которых Красцветмет. ИТ осуществляет в соответствии с действующим архивным законодательством РФ.
8.17 Срок хранения персональных данных, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
8.18 Красцветмет. ИТ прекращает обработку персональных данных в следующих случаях:
— выявлен факт их неправомерной обработки. Срок ¬– в течение трех рабочих дней с даты выявления;
— достигнута цель их обработки;
— истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда обработка этих данных допускается только с согласия.
8.19 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Красцветмет. ИТ прекращает обработку этих данных, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— Красцветмет. ИТ не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ;
— иное не предусмотрено другим соглашением между Красцветмет. ИТ и субъектом персональных данных.
8.20 При обращении субъекта персональных данных в Красцветмет. ИТ с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Красцветмет. ИТ соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмет. ИТ необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
9.1 Подтверждение факта обработки персональных данных в Красцветмет. ИТ, правовые основания и цели обработки персональных данных, а также иные сведения, предоставляются Красцветмет. ИТ субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмет. ИТ следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Красцветмет. ИТ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Красцветмете;
— подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Красцветмет. ИТ предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.2 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Красцветмет. ИТ осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Красцветмет. ИТ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Красцветмет. ИТ на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Красцветмет. ИТ) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.3 В случае выявления неправомерной обработки персональных данных, осуществляемой Красцветмет. ИТ или лицом, действующим по поручению Красцветмета, Красцветмет. ИТ в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Красцветмет. ИТ. В случае, если обеспечить правомерность обработки персональных данных невозможно, Красцветмет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
9.4 При выявлении Красцветмет. ИТ, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Красцветмет. ИТ:
— в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
— в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
9.5 Порядок уничтожения персональных данных в Красцветмет. ИТ
9.5.1 Условия и сроки уничтожения персональных данных в Красцветмет. ИТ:
— достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение 30 дней с даты достижения цели обработки персональных данных или утраты необходимости достигать эту цель;
— предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки – в течение 7 рабочих дней со дня представления таких сведений;
— отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в течение 30 дней с даты поступления указанного отзыва.
9.5.2 При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— Красцветмет. ИТ не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ;
— иное не предусмотрено другим соглашением между Красцветмет. ИТ и субъектом персональных данных.
9.5.3 Уничтожение персональных данных осуществляет комиссия, созданная приказом директора Красцветмет. ИТ.
9.5.4 Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Красцветмет. ИТ.
10 ОБРАБОТКА ЭЛЕКТРОННЫХ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ, ВКЛЮЧАЯ COOKIE
10.1 Красцветмет. ИТ в целях обработки персональных данных, установленных Политикой, может собирать электронные пользовательские данные на своих сайтах автоматически, без необходимости участия посетителей сайтов и совершения ими каких-либо действий по отправке данных.
10.2 Достоверность собранных таким способом электронных данных в Красцветмет. ИТ не проверяется, информация обрабатывается в том виде, в каком она поступила с клиентского устройства.
10.3 На сайтах Красцветмет. ИТ используются данные «cookie», обработка которых необходима для корректной работы сайтов, в частности:
— их функций, относящихся к доступу зарегистрированных;
— персонализации пользователей;
— повышения эффективности и удобства работы с сайтами;
— а также иных целей, предусмотренных настоящей Политикой.
10.4 Посетителям и пользователям сайтов Красцветмет. ИТ могут показываться всплывающие уведомления о сборе и обработке данных «cookie» с ссылкой на настоящую Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления.
10.5 Принятие пользователем условий обработки «cookie» или закрытие всплывающего уведомления в соответствии с настоящей Политикой расценивается как согласие на обработку данных «cookie» на сайтах Красцветмет. ИТ.
10.6 В случае если пользователь не согласен с обработкой «cookie», он должен принять на себя риск, что в таком случае функции и возможности сайта могут не быть доступны в полном объеме, а затем следовать по одному из следующих вариантов:
— произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные «cookie» для любых сайтов либо для конкретного сайта Красцветмет. ИТ или сайта стороннего компонента;
— переключиться в специальный режим «инкогнито» браузера для использования сайтом «cookie» до закрытия окна браузера или до переключения обратно в обычный режим;
— покинуть сайт во избежание дальнейшей обработки «cookie».
10.7 Уведомления означают, что при посещении и использовании сайтов, информационных ресурсов Красцветмет. ИТ в браузер на устройстве пользователя может сохраняться информация, позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя, специфичные для этих конкретных сайтов. Эта информация после сохранения в браузер и до истечения установленного срока действия или удаления с устройства будет отправляться при каждом последующем запросе на сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне Красцветмет. ИТ.
10.8 Информация о посещении сайтов Красцветмет. ИТ фиксируется установленными статистическими счетчиками сайтов и «Яндекс.Метрика», предоставляемая компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс). Подробнее ознакомиться с политикой конфиденциальности Яндекс можно по ссылке https://yandex.ru/legal/confidential/ , а узнать, как можно отказаться от их аналитических cookie-файлов, по ссылке https://yandex.ru/support/metrica/index.html.
10.9 Информация об использовании посетителями сайтов, собранная при помощи «cookie», может передаваться Яндексу и храниться на серверах Яндекса, расположенных на территории Российской Федерации. Яндекс обрабатывает эту информацию для оценки использования посетителем сайта, составления отчетов о деятельности сайта, и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса «Яндекс.Метрика».
11 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1 Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством РФ. Сведения предоставляются субъекту персональных данных Красцветметом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен законодательством РФ;
— требовать от Красцветмет. ИТ уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
— обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Красцветмет. ИТ при обработке его персональных данных;
— иные права, предусмотренные законодательством РФ.
12 ПРАВА И ОБЯЗАННОСТИ КРАСЦВЕТМЕТ. ИТ ПРИ СБОРЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1 Красцветмет. ИТ имеет право:
— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ;
— поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Красцветмет. ИТ, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
— в случае отзыва субъектом персональных данных согласия на обработку персональных данных Красцветмет вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в законодательстве РФ;
— иные права, предусмотренные законодательством РФ.
12.2 Красцветмет. ИТ обязан:
— организовывать обработку персональных данных в соответствии с требованиями законодательства РФ;
— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями законодательства РФ;
— сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмету необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
— в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
— иные обязанности, предусмотренные законодательством РФ.
13 ВНЕСЕНИЕ ИЗМЕНЕНИЙ
Инициатором разработки изменения может быть любое заинтересованное подразделение компании. Разработку изменений к Политике осуществляет управление информационной безопасности.