ЩИТ. Безопасность
Единое окно для управления комплексной системой безопасности предприятия
Мои цели
Автоматизированная система постановки и мониторинга целей сотрудников
Умное зрение (Computer vision)
Автоматизированное распознавание и анализ визуальной информации и объектов
Умный планерщик (APS)
Система для автоматизации сквозного производственного планирования
Умная модель (Digital twin)
Моделирование и симуляции производственно-технологических процессов, систем и объектов
Умное производство (MES)
Программный комплекс для управления производственными процессами
1 ОБЩИЕ ПОЛОЖЕНИЯ
Владелец документа: направление информационной безопасности.
Документ, подлежащий отмене: ИТ-П-15−2024 «Политика в отношении обработки и защиты персональных данных ООО «Красцветмет. ИТ» (версия 3.0).
1.1 Область применения
1.1.1 Целями настоящей политики в отношении обработки и защиты ПДн (далее — Политика) являются:
− определение порядка обработки и защиты ПДн работников ООО «Красцветмет. ИТ» (далее — Красцветмет. ИТ, компания) и иных субъектов ПДн, ПДн которых подлежат обработке, на основании полномочий Красцветмет. ИТ;
− обеспечение защиты прав и свобод человека и гражданина;
− защита прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, в Красцветмет. ИТ.
1.1.2 Настоящая Политика действует в отношении всех ПДн, которые обрабатывает Красцветмет. ИТ, и раскрывает основные категории ПДн, способы и сроки их обработки и хранения, порядок их уничтожения, права и обязанности
Красцветмет. ИТ при обработке ПДн, права субъектов ПДн.
1.1.3 Политика является общедоступным документом, декларирующим концептуальные основы деятельности Красцветмет. ИТ при обработке ПДн и подлежит опубликованию на официальном сайте Красцветмет. ИТ для обеспечения неограниченного доступа к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн, а также на страницах (формах) сайтов Красцветмет. ИТ в сети «Интернет», с использованием которых осуществляется сбор ПДн.
1.1.4 Субъекты ПДн, чьи данные обрабатываются Красцветмет. ИТ, самостоятельно ознакомляются с настоящей Политикой, размещенной на официальном сайте Красцветмет. ИТ.
1.1.5 Цели обработки, категории субъектов, объем и категории обрабатываемых ПДн отражаются в локальных нормативных актах Красцветмет. ИТ, регулирующих порядок обработки и защиты ПДн, а также в согласиях субъектов ПДн (оформляемых в случаях, предусмотренных законодательством РФ).
1.1.6 Настоящая Политика вступает в действие с даты ее утверждения уполномоченным лицом и действует до ее отмены.
1.1.7 Действие настоящей Политики распространяется на всех работников компании, а также работников иных организаций, которые получили доступ к информационным ресурсам компании, содержащим ПДн, в соответствии со своими должностными обязанностями и заключенными договорами.
1.2 Ответственность 1
1.2.1 Ответственность за разработку и введение Политики несет владелец документа.
1.2.2 Ответственность за регистрацию и обеспечение доступа к Политике в информационной системе несет работник компании, на которого возложены данные обязанности.
1.2.3 Ответственность за соблюдение требований законодательства РФ, настоящей Политики и иных локальных нормативных актов Красцветмет. ИТ, регулирующих порядок обработки ПДн, несут должностные лица Красцветмет. ИТ в пределах своих полномочий, определенных локальными нормативными актами Красцветмет. ИТ.
1.2.4 Общий контроль за соблюдением требований законодательства РФ, настоящей Политики и иных локальных нормативных актов Красцветмет. ИТ осуществляет уполномоченное лицо, ответственное за организацию обработки ПДн в Красцветмет. ИТ.
1.2.5 Уполномоченные лица, ответственные за организацию обработки ПДн и за обеспечение безопасности ПДн, а также их ответственность определяются приказами и локальными нормативными актами.
1.2.6 Руководители структурных подразделений несут ответственность за соблюдение установленных в Красцветмет. ИТ требований по защите ПДн работников своего подразделения.
1.2.7 Должностные лица Красцветмет. ИТ, допущенные к обработке ПДн, несут персональную ответственность за соблюдение требований законодательства РФ и локальных нормативных актов Красцветмет. ИТ по работе с ПДн лиц, к обработке которых допущено данное должностное лицо.
1.2.8 За нарушение требований законодательства в области ПДн виновные лица могут быть привлечены в порядке, установленном законодательством РФ, к уголовной, административной, гражданской, материальной, дисциплинарной ответственности.
2 НОРМАТИВНЫЕ ССЫЛКИ 2
Владелец документа: направление информационной безопасности.
Документ, подлежащий отмене: ИТ-П-15−2024 «Политика в отношении обработки и защиты персональных данных ООО «Красцветмет. ИТ» (версия 3.0).
1.1 Область применения
1.1.1 Целями настоящей политики в отношении обработки и защиты ПДн (далее — Политика) являются:
− определение порядка обработки и защиты ПДн работников ООО «Красцветмет. ИТ» (далее — Красцветмет. ИТ, компания) и иных субъектов ПДн, ПДн которых подлежат обработке, на основании полномочий Красцветмет. ИТ;
− обеспечение защиты прав и свобод человека и гражданина;
− защита прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, в Красцветмет. ИТ.
1.1.2 Настоящая Политика действует в отношении всех ПДн, которые обрабатывает Красцветмет. ИТ, и раскрывает основные категории ПДн, способы и сроки их обработки и хранения, порядок их уничтожения, права и обязанности
Красцветмет. ИТ при обработке ПДн, права субъектов ПДн.
1.1.3 Политика является общедоступным документом, декларирующим концептуальные основы деятельности Красцветмет. ИТ при обработке ПДн и подлежит опубликованию на официальном сайте Красцветмет. ИТ для обеспечения неограниченного доступа к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн, а также на страницах (формах) сайтов Красцветмет. ИТ в сети «Интернет», с использованием которых осуществляется сбор ПДн.
1.1.4 Субъекты ПДн, чьи данные обрабатываются Красцветмет. ИТ, самостоятельно ознакомляются с настоящей Политикой, размещенной на официальном сайте Красцветмет. ИТ.
1.1.5 Цели обработки, категории субъектов, объем и категории обрабатываемых ПДн отражаются в локальных нормативных актах Красцветмет. ИТ, регулирующих порядок обработки и защиты ПДн, а также в согласиях субъектов ПДн (оформляемых в случаях, предусмотренных законодательством РФ).
1.1.6 Настоящая Политика вступает в действие с даты ее утверждения уполномоченным лицом и действует до ее отмены.
1.1.7 Действие настоящей Политики распространяется на всех работников компании, а также работников иных организаций, которые получили доступ к информационным ресурсам компании, содержащим ПДн, в соответствии со своими должностными обязанностями и заключенными договорами.
1.2 Ответственность 1
1.2.1 Ответственность за разработку и введение Политики несет владелец документа.
1.2.2 Ответственность за регистрацию и обеспечение доступа к Политике в информационной системе несет работник компании, на которого возложены данные обязанности.
1.2.3 Ответственность за соблюдение требований законодательства РФ, настоящей Политики и иных локальных нормативных актов Красцветмет. ИТ, регулирующих порядок обработки ПДн, несут должностные лица Красцветмет. ИТ в пределах своих полномочий, определенных локальными нормативными актами Красцветмет. ИТ.
1.2.4 Общий контроль за соблюдением требований законодательства РФ, настоящей Политики и иных локальных нормативных актов Красцветмет. ИТ осуществляет уполномоченное лицо, ответственное за организацию обработки ПДн в Красцветмет. ИТ.
1.2.5 Уполномоченные лица, ответственные за организацию обработки ПДн и за обеспечение безопасности ПДн, а также их ответственность определяются приказами и локальными нормативными актами.
1.2.6 Руководители структурных подразделений несут ответственность за соблюдение установленных в Красцветмет. ИТ требований по защите ПДн работников своего подразделения.
1.2.7 Должностные лица Красцветмет. ИТ, допущенные к обработке ПДн, несут персональную ответственность за соблюдение требований законодательства РФ и локальных нормативных актов Красцветмет. ИТ по работе с ПДн лиц, к обработке которых допущено данное должностное лицо.
1.2.8 За нарушение требований законодательства в области ПДн виновные лица могут быть привлечены в порядке, установленном законодательством РФ, к уголовной, административной, гражданской, материальной, дисциплинарной ответственности.
2 НОРМАТИВНЫЕ ССЫЛКИ 2
утверждена приказом от 28.08.2025 №ИТ-25-по-134
Политика в отношении обработки и защиты персональных данных ООО «Красцветмет. ИТ»
1При пользовании настоящей Политикой целесообразно проверить название должностей и структурных подразделений. Если при изменении штатного расписания компании произошли изменения в названиях, то при составлении документов следует руководствоваться актуальными названиями должностей и структурных подразделений.
2 При пользовании настоящей Политикой целесообразно проверить действие ссылочных документов. Если ссылочный документ заменен (изменен), то при пользовании настоящей Политикой следует руководствоваться замещающим (измененным) документом.
Обозначение
Наименование нормативного документа
Федеральный закон от 27.07.2006 № 152-ФЗ
Федеральный закон от 27.07.2006 № 152-ФЗ
«О персональных данных»
«О персональных данных»
Постановление Правительства РФ от 15.09.2008 № 687
Постановление Правительства РФ от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства РФ от 01.11.2012 № 1119
Постановление Правительства РФ от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Приказ Роскомнадзора от 24.02.2021 № 18
Приказ Роскомнадзора от 24.02.2021 № 18
«Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»
«Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»
Приказ Роскомнадзора от 28.10.2022 № 179
Приказ Роскомнадзора от 28.10.2022 № 179
«Об утверждении Требований к подтверждению уничтожения персональных данных»
«Об утверждении Требований к подтверждению уничтожения персональных данных»
Приказ ФСТЭК России от 18.02.2013 № 21
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Выгодоприобретатель по договору — физическое лицо, назначенное выгодоприобретателем по соответствующему договору, например, по договору страхования действующего или уволенного работника Красцветмет. ИТ, или физическое лицо (член семьи, иной родственник, иждивенец, наследник), получающее компенсации, пособия, материальную помощь и иные выплаты в связи со смертью работника Красцветмет. ИТ.
Должностное лицо — работник Красцветмет. ИТ, уполномоченный осуществлять обработку персональных данных субъектов персональных данных и несущий все установленные законодательством виды ответственности за нарушение порядка обработки и сохранности персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Контрагент — физическое лицо, индивидуальный предприниматель и самозанятый, являющиеся потенциальными, действующими или бывшими клиентами, поставщиками, подрядчиками, агентами, партнерами и др.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные источники персональных данных — источники персональных данных (в том числе справочники, адресные книги), к которым не ограничен доступ третьих лиц и работников Красцветмет. ИТ. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, номер рабочего и/или личного телефона, сведения о профессии
и иные персональные данные, сообщаемые субъектом персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими юридическими и физическими лицами организующий и/или осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия
на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством РФ.
Посетитель сайта — физическое лицо — пользователь сайтов в сети «Интернет» и мобильных приложений, функционирующих в интересах Красцветмет. ИТ.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Представитель контрагента — юридических лиц (клиентов, поставщиков, подрядчиков, агентов, партнеров) — физическое лицо, связанное с потенциальным, действующим или бывшим клиентом, поставщиком, подрядчиком, агентом, партнером.
Представитель работника — физическое лицо, представляющее интересы действующего и/или уволенного работника Красцветмет. ИТ в непредвиденных обстоятельствах или физическое лицо, уполномоченное или ранее имевшее полномочия на представление интересов действующего и/или уволенного работника Красцветмет. ИТ (совершение представителем действий от имени и в интересах действующего и/или уволенного работника Красцветмет. ИТ).
Работник — физическое лицо, заключившее трудовой договор с Красцветмет. ИТ (работодателем, Оператором).
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Результат интеллектуальной деятельности — охраняемые результаты интеллектуальной деятельности и средства индивидуализации, которым предоставляется правовая охрана в соответствии с нормами Гражданского кодекса Российской Федерации.
Родственник работника — супруг (супруга), один из родителей (мать, отец), ребенок и другие члены семьи действующего и/или уволенного работника Красцветмет. ИТ.
Сайт в сети «Интернет» — совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
Соискатель (кандидат) — физическое лицо, претендующее на замещение вакантной должности в Красцветмет. ИТ (указанное лицо также может получать, принимать/отклонять предложение Красцветмет. ИТ о замещении вакантной должности).
Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Студент — физическое лицо, проходящее (ранее проходившее) в Красцветмет. ИТ профессиональное обучение в форме стажировки или практики (производственной, учебной, преддипломной или ознакомительной).
Субъект персональных данных — физическое лицо, чьи персональные данные обрабатывает оператор.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уволенный работник — физическое лицо, ранее состоявшее в трудовых отношениях с Красцветмет. ИТ.
Угроза безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке
в информационных системах.
Физическое лицо, обращающееся в компанию — физическое лицо, обратившееся в компанию для получения сервисного и/или информационно-справочного обслуживания.
Физическое лицо, чьи персональные данные размещаются на ресурсах компании — физическое лицо, чьи персональные данные на законных основаниях могут быть размещены на страницах сайтов в сети «Интернет» и/или мобильных приложениях, функционирующих в интересах Красцветмет. ИТ.
Cookie — небольшие фрагменты данных со служебной информацией о посещении сайта, которые сервер создает (устанавливает), а устройство Посетителя сайта отправляет.
В случае, если действующее законодательство РФ будет содержать иное определение термина для регулирования порядка обработки и защиты персональных данных, установленных настоящей Политикой и иными нормативными актами Красцветмет. ИТ, применяется определение, установленное законодательством РФ.
4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
ИСПДн — информационная система персональных данных;
Красцветмет. ИТ, компания — ООО «Красцветмет. ИТ»;
НСД — несанкционированный доступ;
ПДн — персональные данные;
РИД — результаты интеллектуальной деятельности;
Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — уполномоченный орган по защите прав субъектов персональных данных;
РФ — Российская Федерация;
ФСБ — Федеральная служба безопасности.
5 ПРИНЦИПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 В Красцветмет. ИТ обработка ПДн осуществляется на основе следующих принципов:
— обработка ПДн осуществляется на законной и справедливой основе;
— обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка ПДн, несовместимая с целями сбора ПДн;
— не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только ПДн, которые отвечают целям их обработки;
— содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
— при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
— хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки, если срок хранения ПДн не установлен федеральным законом, согласием на обработку, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
— обрабатываемые ПДн уничтожаются в случае отзыва согласия на обработку, по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ;
— обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод.
6 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Правовым основанием обработки ПДн для Красцветмет. ИТ являются:
− Конституция Российской Федерации;
− Гражданский кодекс Российской Федерации;
− Трудовой кодекс Российской Федерации;
− Налоговый кодекс Российской Федерации;
− Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
− Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
− Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
− Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
− Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
− Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
− Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
− Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
− Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
− Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
− Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
− Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
− Положение о воинском учете, утвержденное постановлением Правительства Р Ф от 27.11.2006 № 719;
− согласие субъекта ПДн на обработку его ПДн;
− устав Красцветмет. ИТ;
− договоры, заключаемые между Красцветмет. ИТ и субъектом ПДн;
− иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Красцветмет. ИТ и организацией процесса обработки и защиты ПДн.
7 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным разделом 8 настоящей Политики.
7.2 В Красцветмет. ИТ могут обрабатываться ПДн исключительно в целях, для которых они были собраны или получены.
7.3 Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом ПДн Красцветмет. ИТ имеет право:
− отказать в их принятии;
− уничтожить в присутствии субъекта ПДн.
Для исключения сбора избыточных ПДн могут использоваться типовые формы.
7.4 Красцветмет. ИТ может обрабатывать ПДн следующих категорий субъектов ПДн:
− работники компании;
− родственники работников компании;
− представители работников компании;
− уволенные работники компании;
− соискатели;
− студенты;
− контрагенты;
− представители контрагентов;
− физические лица, обращающиеся в компанию;
− физические лица, чьи персональные данные размещаются на ресурсах компании;
− выгодоприобретатели по договорам;
− посетители сайта.
7.5 Красцветмет. ИТ не осуществляет обработку биометрических ПДн.
7.6 Красцветмет. ИТ осуществляет обработку специальных категорий ПДн, касающихся состояния здоровья субъектов ПДн, в соответствии с законодательством РФ.
8 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обработка ПДн компанией осуществляется в следующих целях:
− ведение кадрового учета;
− обеспечение соблюдения трудового законодательства РФ;
− обеспечения соблюдения требований законодательства РФ в части воинского учета;
− передача информации в Социальный фонд России;
− страхование;
− исполнение социальных программ;
− повышение квалификации, обучение, участие в конкурсах и выставках, получение удостоверений, свидетельств, документов о прохождении обучения и развитие работника;
− продвижение товаров, работ, услуг на рынке;
− подготовка, заключение, исполнение и прекращение договоров с контрагентами;
− оформление электронной подписи;
− осуществление бронирования билетов, проживания, трансферов;
− подбор персонала (соискателей) на вакантные должности оператора;
− обеспечение прохождения ознакомительной, производственной или преддипломной практики;
− ведение бухгалтерского учета;
− формирование аналитической отчетности;
− обеспечение соблюдения налогового законодательства РФ;
− исполнение судебного акта;
− обеспечение соблюдения законодательства РФ об исполнительном производстве;
− участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
− оформление доверенностей;
− размещение информации на корпоративных порталах, сайтах и справочниках компании;
− оформление и распоряжение правами на РИД, включая подготовку, подачу заявки на выдачу патента на РИД и получение патента на РИД;
− осуществление сервисного и/или информационно-справочного обслуживания.
8.2 Перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок их уничтожения при достижении целей их обработки или при наступлении иных законных оснований описаны в приложении 1.
8.3 Обработка ПДн строго ограничивается достижением целей обработки ПДн. Обработка ПДн в целях, отличных от указанных в приложении 1 настоящей Политики, не допускается.
9 ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Красцветмет. ИТ осуществляет обработку ПДн следующими способами:
— неавтоматизированная обработка ПДн;
— автоматизированная обработка ПДн;
- смешанная обработка ПДн (обработка ПДн как с использованием средств автоматизации, так и без них).
9.2 Обработка ПДн включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), блокирование, удаление, уничтожение, резервное копирование ПДн.
9.3 В случае, когда субъект ПДн дал согласие на обработку ПДн, разрешенных для распространения, такое согласие оформляется отдельно от иных согласий субъекта ПДн. Требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, утверждены приказом Роскомнадзора от 24.02.2021 № 18.
9.4 Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения ПДн на бумажных носителях.
9.5 ПДн на бумажных носителях хранятся в Красцветмет. ИТ в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ. В этом случае субъект ПДн не может запретить обработку ПДн или отозвать ПДн, обработку которых Красцветмет. ИТ осуществляет в соответствии с действующим архивным законодательством РФ.
9.6 Красцветмет. ИТ прекращает обработку ПДн в следующих случаях:
— выявлен факт их неправомерной обработки;
— достигнута цель их обработки или утрачена необходимость достигать эту цель;
— истек срок действия или отозвано согласие субъекта ПДн на обработку указанных данных, когда обработка этих данных опускается только с согласия;
— субъектом или его представителем предоставлены сведения, подтверждающие, что ПДн являются неполными, устаревшими, неточными (при условии, что уточнение ПДн невозможно), получены незаконно или не являются необходимыми для заявленной цели обработки;
— поступило обращение от субъекта ПДн с требованием о прекращении обработки ПДн, за исключением случаев, предусмотренных пп. 2−11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.
9.7 При достижении целей обработки ПДн или в случае утраты необходимости в достижении этой цели, а также в случае отзыва субъектом ПДн согласия на их обработку, Красцветмет. ИТ прекращает обработку этих данных, если:
— законодательством РФ не предусмотрены случаи, допускающие обработку ПДн без согласия субъекта;
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
— иное не предусмотрено другим соглашением между Красцветмет. ИТ и субъектом ПДн.
9.8 Доступ к обрабатываемым ПДн предоставляется только тем работникам, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
9.9 Лица, допущенные к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
9.10 Работник Красцветмет. ИТ, осуществляющий сбор (получение) ПДн непосредственно от субъектов ПДн, обязан разъяснить субъекту ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на их обработку.
9.11 Красцветмет. ИТ, помимо деятельности в качестве оператора ПДн, может выступать как лицо, осуществляющее обработку ПДн по поручению других операторов ПДн на основании договоров и иных соглашений.
9.12 Красцветмет. ИТ имеет право привлекать третьих лиц к обработке ПДн, а также получать от них ПДн в целях, указанных в настоящей Политике. При получении ПДн от третьих лиц Красцветмет. ИТ не получает согласие на обработку ПДн от субъекта ПДн при условии соблюдения принципов обработки ПДн и наличия с третьим лицом соответствующего договора или соглашения.
9.13 Обработка ПДн на основании договоров, соглашений и/или поручений на обработку ПДн осуществляется в соответствии с условиями этих договоров, соглашений и/или поручений, которые должны определять, в частности:
— цели, условия, действия с ПДн, сроки обработки ПДн;
— роли, функции и обязательства сторон, в том числе меры по обеспечению конфиденциальности и информационной безопасности ПДн;
— права и ответственность сторон, касающиеся обработки и защиты ПДн.
9.14 Перечень третьих лиц, которым могут быть переданы ПДн с соблюдением требований законодательства РФ, включает, но не ограничивается:
— лиц, оказывающих услуги по ведению кадрового/бухгалтерского учета, административного/юридического сопровождения, по обучению/повышению квалификации/аттестации, по бронированию билетов/проживания/трансферов и иные услуги;
— государственные, муниципальные, судебные, контролирующие, надзорные и иные органы и лица, право на получение информации которых установлено действующим законодательством РФ и является обязательным
для Красцветмет. ИТ.
9.15 Красцветмет. ИТ принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
9.16 Красцветмет. ИТ реализует меры по организации обработки и обеспечению безопасности ПДн:
− определены места хранения материальных носителей ПДн и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
− обеспечивается раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
− соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ при хранении материальных носителей;
− назначены ответственные за обработку ПДн и за обеспечение безопасности при обработке ПДн;
− изданы локальные нормативные акты по вопросам обработки и защиты ПДн и с ними ознакомлены работники;
− проводится обучение работников по вопросам обработки и защиты ПДн;
− обеспечивается физическая безопасность помещений и средств обработки;
− обеспечиваются ограничение и разграничение доступа работников и иных лиц к ПДн и средствам обработки, мониторинг действий с ПДн;
− определяются угрозы безопасности ПДн при их обработке в ИСПДн;
− определяется уровень защищенности ПДн при их обработке в ИСПДн;
− выполняются требования по защите ПДн в ИСПДн в соответствии с определенными уровнями защищенности ПДн;
− применяются средства защиты информации;
− осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
− осуществляется учет машинных носителей ПДн;
− осуществляется обнаружение фактов НСД к ПДн и принятие необходимых мер;
− разрабатываются процедуры, регламентирующие восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
− устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с ПДн в ИСПДн, там, где это необходимо;
− осуществляется контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
− осуществляются оценка степени вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых мер, а также их пересмотр;
− осуществляется регулярный внутренний контроль/аудит соответствия условий обработки и защиты ПДн действующему законодательству РФ в области обработки и обеспечения безопасности ПДн.
9.17 Красцветмет. ИТ не осуществляет трансграничную передачу ПДн.
9.18 В Красцветмет. ИТ могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги).
10 АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ, БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
10.1 Подтверждение факта обработки ПДн в Красцветмет. ИТ, правовые основания и цели обработки ПДн, а также иные сведения, предоставляются Красцветмет. ИТ субъекту ПДн или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта ПДн или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмет. ИТ следует направить субъекту ПДн мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания
для раскрытия таких ПДн.
Запрос или обращение должны содержать:
− номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
− сведения, подтверждающие участие субъекта ПДн в отношениях с Красцветмет. ИТ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн в Красцветмет. ИТ;
− подпись субъекта ПДн или его представителя.
Запрос или обращение могут быть направлены в форме электронного документа и подписаны электронной подписью в соответствии с законодательством РФ.
Красцветмет. ИТ предоставляет сведения субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта ПДн не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с законодательством РФ, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
10.2 В случае выявления неточных ПДн при обращении или запросе от субъекта ПДн, его представителя либо Роскомнадзора Красцветмет. ИТ осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Красцветмет. ИТ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
В случае подтверждения факта неточности ПДн Красцветмет. ИТ на основании сведений, представленных субъектом ПДн, его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Красцветмет. ИТ) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПДн.
10.3 В случае выявления неправомерной обработки ПДн, осуществляемой Красцветмет. ИТ или лицом, действующим по поручению Красцветмет. ИТ, Красцветмет. ИТ в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Красцветмет. ИТ. В случае, если обеспечить правомерность обработки ПДн невозможно, Красцветмет. ИТ в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение.
10.4 В случае отсутствия возможности уничтожения ПДн в течение срока, установленного законодательством РФ, Красцветмет. ИТ осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен законодательством РФ.
10.5 При обращении субъекта ПДн в Красцветмет. ИТ с требованием о прекращении обработки ПДн в срок, не превышающий 10 рабочих дней с даты получения Красцветмет. ИТ соответствующего требования, обработка ПДн прекращается, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Красцветмет. ИТ необходимо направить субъекту ПДн мотивированное уведомление с указанием причин продления срока.
10.6 При выявлении Красцветмет. ИТ, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) ПДн (доступа к ПДн), повлекшей нарушение прав субъектов ПДн, Красцветмет. ИТ:
− в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде, нанесенном правам субъектов ПДн, и принятых мерах
− по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном компанией на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
− в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
10.7 Условия и сроки уничтожения ПДн в Красцветмет. ИТ:
− достижение цели обработки ПДн либо утрата необходимости достигать эту цель — в течение 30 дней с даты достижения цели обработки ПДн или утраты необходимости достигать эту цель;
− предоставление субъектом ПДн (его представителем) подтверждения того, что ПДн получены незаконно или не являются необходимыми для заявленной цели обработки — в течение 7 рабочих дней со дня представления таких сведений;
− отзыв субъектом ПДн согласия на обработку его ПДн, если их сохранение для цели их обработки более не требуется, — в течение 30 дней с даты поступления указанного отзыва.
10.8 При достижении цели обработки ПДн или в случае утраты необходимости в достижении этой цели, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
− законодательством РФ не предусмотрены случаи, допускающие обработку ПДн без согласия субъекта;
− иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
− иное не предусмотрено другим соглашением между Красцветмет. ИТ и субъектом ПДн.
10.9 Уничтожение ПДн осуществляет ответственный за организацию обработки ПДн и/или комиссия по вопросам обработки и защиты ПДн.
10.10 Способы и порядок уничтожения ПДн установлены в локальных нормативных актах Красцветмет. ИТ.
11 ОБРАБОТКА ЭЛЕКТРОННЫХ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ, ВКЛЮЧАЯ COOKIE
11.1 Красцветмет. ИТ в целях обработки ПДн, установленных Политикой, может автоматически собирать электронные пользовательские данные, включая «cookie», на своих сайтах, без необходимости участия посетителей сайтов и совершения ими каких-либо действий по отправке данных. Обработка таких данных необходима для корректной и безопасной работы сайтов, а также продвижения товаров и услуг Красцветмет. ИТ.
11.2 Достоверность собранных электронных пользовательских данных, включая «cookie» в Красцветмет. ИТ не проверяется, информация обрабатывается в том виде, в каком она поступила.
11.3 Основанием обработки (в том числе передачи) электронных пользовательских данных, включая «cookie», является согласие на обработку ПДн, предоставляемое посетителями сайтов путем совершения конклюдентных действий:
− нажатие кнопки, например, «Принимаю»;
− закрытие уведомления о сборе и обработке таких данных;
− продолжение использования сайтов.
11.4 В случае несогласия с порядком использования электронных пользовательских данных, включая «cookie», посетители сайтов могут ограничить их использование в настройках браузера (при этом не гарантирована корректная работа всех функций сайта), покинуть или не использовать сайты Красцветмет. ИТ.
11.5 Информация о посещении сайтов, о действиях посетителей на сайтах может фиксироваться и передаваться в специализированные аналитические сервисы в целях, предусмотренных настоящей Политикой. К таким сервисам могут относится, например, «Яндекс.Метрика», «Yandex SmartCaptcha», инструменты статистики Tilda и другие. Данные, собираемые такими сервисами, могут также получать и обрабатывать третьи лица, например, ООО "Яндекс" (политика конфиденциальности: https://yandex.ru/legal/confidential/), ООО «Тильда Паблишинг» (политика конфиденциальности: https://tilda.cc/ru/privacy/).
12 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1 Субъект ПДн имеет право:
− получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных законодательством РФ. Сведения субъекту ПДн предоставляются Красцветмет. ИТ в доступной форме, в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлены законодательством РФ;
− требовать от Красцветмет. ИТ уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
− дать предварительное согласие на обработку ПДн в целях продвижения на рынке товаров, работ и услуг;
− отозвать свое согласие на обработку ПДн;
− обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Красцветмет. ИТ при обработке его ПДн;
− на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
− по всем вопросам обработки и защиты ПДн обращаться по адресу privacy@kit-digital.ru
− иные права, предусмотренные законодательством РФ.
13 ПРАВА И ОБЯЗАННОСТИ КРАСЦВЕТМЕТ. ИТ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1 Красцветмет. ИТ имеет право:
− самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ;
− поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Красцветмет. ИТ, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством РФ, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
− в случае отзыва субъектом ПДн согласия на обработку ПДн Красцветмет. ИТ вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в законодательстве РФ;
− иные права, предусмотренные законодательством РФ.
13.2 Красцветмет. ИТ обязан:
− организовывать обработку ПДн в соответствии с требованиями законодательства РФ;
− отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями законодательства РФ;
− сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмет. ИТ необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
− в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) ПДн;
− не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом;
− иные обязанности, предусмотренные законодательством РФ.
14 ВНЕСЕНИЕ ИЗМЕНЕНИЙ
Инициатором разработки изменения может быть любое заинтересованное подразделение компании. Разработку изменений к Политике осуществляет владелец документа.
15 ПРИЛОЖЕНИЯ
Приложение 1. Цели, перечень субъектов персональных данных, чьи персональные данные обрабатываются в ООО «Красцветмет. ИТ», и сроки обработки персональных данных субъектов персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Выгодоприобретатель по договору — физическое лицо, назначенное выгодоприобретателем по соответствующему договору, например, по договору страхования действующего или уволенного работника Красцветмет. ИТ, или физическое лицо (член семьи, иной родственник, иждивенец, наследник), получающее компенсации, пособия, материальную помощь и иные выплаты в связи со смертью работника Красцветмет. ИТ.
Должностное лицо — работник Красцветмет. ИТ, уполномоченный осуществлять обработку персональных данных субъектов персональных данных и несущий все установленные законодательством виды ответственности за нарушение порядка обработки и сохранности персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Контрагент — физическое лицо, индивидуальный предприниматель и самозанятый, являющиеся потенциальными, действующими или бывшими клиентами, поставщиками, подрядчиками, агентами, партнерами и др.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные источники персональных данных — источники персональных данных (в том числе справочники, адресные книги), к которым не ограничен доступ третьих лиц и работников Красцветмет. ИТ. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, номер рабочего и/или личного телефона, сведения о профессии
и иные персональные данные, сообщаемые субъектом персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими юридическими и физическими лицами организующий и/или осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия
на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством РФ.
Посетитель сайта — физическое лицо — пользователь сайтов в сети «Интернет» и мобильных приложений, функционирующих в интересах Красцветмет. ИТ.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Представитель контрагента — юридических лиц (клиентов, поставщиков, подрядчиков, агентов, партнеров) — физическое лицо, связанное с потенциальным, действующим или бывшим клиентом, поставщиком, подрядчиком, агентом, партнером.
Представитель работника — физическое лицо, представляющее интересы действующего и/или уволенного работника Красцветмет. ИТ в непредвиденных обстоятельствах или физическое лицо, уполномоченное или ранее имевшее полномочия на представление интересов действующего и/или уволенного работника Красцветмет. ИТ (совершение представителем действий от имени и в интересах действующего и/или уволенного работника Красцветмет. ИТ).
Работник — физическое лицо, заключившее трудовой договор с Красцветмет. ИТ (работодателем, Оператором).
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Результат интеллектуальной деятельности — охраняемые результаты интеллектуальной деятельности и средства индивидуализации, которым предоставляется правовая охрана в соответствии с нормами Гражданского кодекса Российской Федерации.
Родственник работника — супруг (супруга), один из родителей (мать, отец), ребенок и другие члены семьи действующего и/или уволенного работника Красцветмет. ИТ.
Сайт в сети «Интернет» — совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
Соискатель (кандидат) — физическое лицо, претендующее на замещение вакантной должности в Красцветмет. ИТ (указанное лицо также может получать, принимать/отклонять предложение Красцветмет. ИТ о замещении вакантной должности).
Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Студент — физическое лицо, проходящее (ранее проходившее) в Красцветмет. ИТ профессиональное обучение в форме стажировки или практики (производственной, учебной, преддипломной или ознакомительной).
Субъект персональных данных — физическое лицо, чьи персональные данные обрабатывает оператор.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уволенный работник — физическое лицо, ранее состоявшее в трудовых отношениях с Красцветмет. ИТ.
Угроза безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке
в информационных системах.
Физическое лицо, обращающееся в компанию — физическое лицо, обратившееся в компанию для получения сервисного и/или информационно-справочного обслуживания.
Физическое лицо, чьи персональные данные размещаются на ресурсах компании — физическое лицо, чьи персональные данные на законных основаниях могут быть размещены на страницах сайтов в сети «Интернет» и/или мобильных приложениях, функционирующих в интересах Красцветмет. ИТ.
Cookie — небольшие фрагменты данных со служебной информацией о посещении сайта, которые сервер создает (устанавливает), а устройство Посетителя сайта отправляет.
В случае, если действующее законодательство РФ будет содержать иное определение термина для регулирования порядка обработки и защиты персональных данных, установленных настоящей Политикой и иными нормативными актами Красцветмет. ИТ, применяется определение, установленное законодательством РФ.
4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
ИСПДн — информационная система персональных данных;
Красцветмет. ИТ, компания — ООО «Красцветмет. ИТ»;
НСД — несанкционированный доступ;
ПДн — персональные данные;
РИД — результаты интеллектуальной деятельности;
Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — уполномоченный орган по защите прав субъектов персональных данных;
РФ — Российская Федерация;
ФСБ — Федеральная служба безопасности.
5 ПРИНЦИПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 В Красцветмет. ИТ обработка ПДн осуществляется на основе следующих принципов:
— обработка ПДн осуществляется на законной и справедливой основе;
— обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка ПДн, несовместимая с целями сбора ПДн;
— не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только ПДн, которые отвечают целям их обработки;
— содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
— при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
— хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки, если срок хранения ПДн не установлен федеральным законом, согласием на обработку, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
— обрабатываемые ПДн уничтожаются в случае отзыва согласия на обработку, по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ;
— обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод.
6 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Правовым основанием обработки ПДн для Красцветмет. ИТ являются:
− Конституция Российской Федерации;
− Гражданский кодекс Российской Федерации;
− Трудовой кодекс Российской Федерации;
− Налоговый кодекс Российской Федерации;
− Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
− Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
− Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
− Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
− Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
− Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
− Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
− Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
− Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
− Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
− Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
− Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
− Положение о воинском учете, утвержденное постановлением Правительства Р Ф от 27.11.2006 № 719;
− согласие субъекта ПДн на обработку его ПДн;
− устав Красцветмет. ИТ;
− договоры, заключаемые между Красцветмет. ИТ и субъектом ПДн;
− иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Красцветмет. ИТ и организацией процесса обработки и защиты ПДн.
7 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным разделом 8 настоящей Политики.
7.2 В Красцветмет. ИТ могут обрабатываться ПДн исключительно в целях, для которых они были собраны или получены.
7.3 Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом ПДн Красцветмет. ИТ имеет право:
− отказать в их принятии;
− уничтожить в присутствии субъекта ПДн.
Для исключения сбора избыточных ПДн могут использоваться типовые формы.
7.4 Красцветмет. ИТ может обрабатывать ПДн следующих категорий субъектов ПДн:
− работники компании;
− родственники работников компании;
− представители работников компании;
− уволенные работники компании;
− соискатели;
− студенты;
− контрагенты;
− представители контрагентов;
− физические лица, обращающиеся в компанию;
− физические лица, чьи персональные данные размещаются на ресурсах компании;
− выгодоприобретатели по договорам;
− посетители сайта.
7.5 Красцветмет. ИТ не осуществляет обработку биометрических ПДн.
7.6 Красцветмет. ИТ осуществляет обработку специальных категорий ПДн, касающихся состояния здоровья субъектов ПДн, в соответствии с законодательством РФ.
8 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обработка ПДн компанией осуществляется в следующих целях:
− ведение кадрового учета;
− обеспечение соблюдения трудового законодательства РФ;
− обеспечения соблюдения требований законодательства РФ в части воинского учета;
− передача информации в Социальный фонд России;
− страхование;
− исполнение социальных программ;
− повышение квалификации, обучение, участие в конкурсах и выставках, получение удостоверений, свидетельств, документов о прохождении обучения и развитие работника;
− продвижение товаров, работ, услуг на рынке;
− подготовка, заключение, исполнение и прекращение договоров с контрагентами;
− оформление электронной подписи;
− осуществление бронирования билетов, проживания, трансферов;
− подбор персонала (соискателей) на вакантные должности оператора;
− обеспечение прохождения ознакомительной, производственной или преддипломной практики;
− ведение бухгалтерского учета;
− формирование аналитической отчетности;
− обеспечение соблюдения налогового законодательства РФ;
− исполнение судебного акта;
− обеспечение соблюдения законодательства РФ об исполнительном производстве;
− участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
− оформление доверенностей;
− размещение информации на корпоративных порталах, сайтах и справочниках компании;
− оформление и распоряжение правами на РИД, включая подготовку, подачу заявки на выдачу патента на РИД и получение патента на РИД;
− осуществление сервисного и/или информационно-справочного обслуживания.
8.2 Перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок их уничтожения при достижении целей их обработки или при наступлении иных законных оснований описаны в приложении 1.
8.3 Обработка ПДн строго ограничивается достижением целей обработки ПДн. Обработка ПДн в целях, отличных от указанных в приложении 1 настоящей Политики, не допускается.
9 ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Красцветмет. ИТ осуществляет обработку ПДн следующими способами:
— неавтоматизированная обработка ПДн;
— автоматизированная обработка ПДн;
- смешанная обработка ПДн (обработка ПДн как с использованием средств автоматизации, так и без них).
9.2 Обработка ПДн включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), блокирование, удаление, уничтожение, резервное копирование ПДн.
9.3 В случае, когда субъект ПДн дал согласие на обработку ПДн, разрешенных для распространения, такое согласие оформляется отдельно от иных согласий субъекта ПДн. Требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, утверждены приказом Роскомнадзора от 24.02.2021 № 18.
9.4 Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения ПДн на бумажных носителях.
9.5 ПДн на бумажных носителях хранятся в Красцветмет. ИТ в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ. В этом случае субъект ПДн не может запретить обработку ПДн или отозвать ПДн, обработку которых Красцветмет. ИТ осуществляет в соответствии с действующим архивным законодательством РФ.
9.6 Красцветмет. ИТ прекращает обработку ПДн в следующих случаях:
— выявлен факт их неправомерной обработки;
— достигнута цель их обработки или утрачена необходимость достигать эту цель;
— истек срок действия или отозвано согласие субъекта ПДн на обработку указанных данных, когда обработка этих данных опускается только с согласия;
— субъектом или его представителем предоставлены сведения, подтверждающие, что ПДн являются неполными, устаревшими, неточными (при условии, что уточнение ПДн невозможно), получены незаконно или не являются необходимыми для заявленной цели обработки;
— поступило обращение от субъекта ПДн с требованием о прекращении обработки ПДн, за исключением случаев, предусмотренных пп. 2−11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.
9.7 При достижении целей обработки ПДн или в случае утраты необходимости в достижении этой цели, а также в случае отзыва субъектом ПДн согласия на их обработку, Красцветмет. ИТ прекращает обработку этих данных, если:
— законодательством РФ не предусмотрены случаи, допускающие обработку ПДн без согласия субъекта;
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
— иное не предусмотрено другим соглашением между Красцветмет. ИТ и субъектом ПДн.
9.8 Доступ к обрабатываемым ПДн предоставляется только тем работникам, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
9.9 Лица, допущенные к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
9.10 Работник Красцветмет. ИТ, осуществляющий сбор (получение) ПДн непосредственно от субъектов ПДн, обязан разъяснить субъекту ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на их обработку.
9.11 Красцветмет. ИТ, помимо деятельности в качестве оператора ПДн, может выступать как лицо, осуществляющее обработку ПДн по поручению других операторов ПДн на основании договоров и иных соглашений.
9.12 Красцветмет. ИТ имеет право привлекать третьих лиц к обработке ПДн, а также получать от них ПДн в целях, указанных в настоящей Политике. При получении ПДн от третьих лиц Красцветмет. ИТ не получает согласие на обработку ПДн от субъекта ПДн при условии соблюдения принципов обработки ПДн и наличия с третьим лицом соответствующего договора или соглашения.
9.13 Обработка ПДн на основании договоров, соглашений и/или поручений на обработку ПДн осуществляется в соответствии с условиями этих договоров, соглашений и/или поручений, которые должны определять, в частности:
— цели, условия, действия с ПДн, сроки обработки ПДн;
— роли, функции и обязательства сторон, в том числе меры по обеспечению конфиденциальности и информационной безопасности ПДн;
— права и ответственность сторон, касающиеся обработки и защиты ПДн.
9.14 Перечень третьих лиц, которым могут быть переданы ПДн с соблюдением требований законодательства РФ, включает, но не ограничивается:
— лиц, оказывающих услуги по ведению кадрового/бухгалтерского учета, административного/юридического сопровождения, по обучению/повышению квалификации/аттестации, по бронированию билетов/проживания/трансферов и иные услуги;
— государственные, муниципальные, судебные, контролирующие, надзорные и иные органы и лица, право на получение информации которых установлено действующим законодательством РФ и является обязательным
для Красцветмет. ИТ.
9.15 Красцветмет. ИТ принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
9.16 Красцветмет. ИТ реализует меры по организации обработки и обеспечению безопасности ПДн:
− определены места хранения материальных носителей ПДн и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
− обеспечивается раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
− соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ при хранении материальных носителей;
− назначены ответственные за обработку ПДн и за обеспечение безопасности при обработке ПДн;
− изданы локальные нормативные акты по вопросам обработки и защиты ПДн и с ними ознакомлены работники;
− проводится обучение работников по вопросам обработки и защиты ПДн;
− обеспечивается физическая безопасность помещений и средств обработки;
− обеспечиваются ограничение и разграничение доступа работников и иных лиц к ПДн и средствам обработки, мониторинг действий с ПДн;
− определяются угрозы безопасности ПДн при их обработке в ИСПДн;
− определяется уровень защищенности ПДн при их обработке в ИСПДн;
− выполняются требования по защите ПДн в ИСПДн в соответствии с определенными уровнями защищенности ПДн;
− применяются средства защиты информации;
− осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
− осуществляется учет машинных носителей ПДн;
− осуществляется обнаружение фактов НСД к ПДн и принятие необходимых мер;
− разрабатываются процедуры, регламентирующие восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
− устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с ПДн в ИСПДн, там, где это необходимо;
− осуществляется контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
− осуществляются оценка степени вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых мер, а также их пересмотр;
− осуществляется регулярный внутренний контроль/аудит соответствия условий обработки и защиты ПДн действующему законодательству РФ в области обработки и обеспечения безопасности ПДн.
9.17 Красцветмет. ИТ не осуществляет трансграничную передачу ПДн.
9.18 В Красцветмет. ИТ могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги).
10 АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ, БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
10.1 Подтверждение факта обработки ПДн в Красцветмет. ИТ, правовые основания и цели обработки ПДн, а также иные сведения, предоставляются Красцветмет. ИТ субъекту ПДн или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта ПДн или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмет. ИТ следует направить субъекту ПДн мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания
для раскрытия таких ПДн.
Запрос или обращение должны содержать:
− номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
− сведения, подтверждающие участие субъекта ПДн в отношениях с Красцветмет. ИТ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн в Красцветмет. ИТ;
− подпись субъекта ПДн или его представителя.
Запрос или обращение могут быть направлены в форме электронного документа и подписаны электронной подписью в соответствии с законодательством РФ.
Красцветмет. ИТ предоставляет сведения субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта ПДн не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с законодательством РФ, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
10.2 В случае выявления неточных ПДн при обращении или запросе от субъекта ПДн, его представителя либо Роскомнадзора Красцветмет. ИТ осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Красцветмет. ИТ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
В случае подтверждения факта неточности ПДн Красцветмет. ИТ на основании сведений, представленных субъектом ПДн, его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Красцветмет. ИТ) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПДн.
10.3 В случае выявления неправомерной обработки ПДн, осуществляемой Красцветмет. ИТ или лицом, действующим по поручению Красцветмет. ИТ, Красцветмет. ИТ в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Красцветмет. ИТ. В случае, если обеспечить правомерность обработки ПДн невозможно, Красцветмет. ИТ в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение.
10.4 В случае отсутствия возможности уничтожения ПДн в течение срока, установленного законодательством РФ, Красцветмет. ИТ осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен законодательством РФ.
10.5 При обращении субъекта ПДн в Красцветмет. ИТ с требованием о прекращении обработки ПДн в срок, не превышающий 10 рабочих дней с даты получения Красцветмет. ИТ соответствующего требования, обработка ПДн прекращается, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Красцветмет. ИТ необходимо направить субъекту ПДн мотивированное уведомление с указанием причин продления срока.
10.6 При выявлении Красцветмет. ИТ, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) ПДн (доступа к ПДн), повлекшей нарушение прав субъектов ПДн, Красцветмет. ИТ:
− в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде, нанесенном правам субъектов ПДн, и принятых мерах
− по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном компанией на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
− в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
10.7 Условия и сроки уничтожения ПДн в Красцветмет. ИТ:
− достижение цели обработки ПДн либо утрата необходимости достигать эту цель — в течение 30 дней с даты достижения цели обработки ПДн или утраты необходимости достигать эту цель;
− предоставление субъектом ПДн (его представителем) подтверждения того, что ПДн получены незаконно или не являются необходимыми для заявленной цели обработки — в течение 7 рабочих дней со дня представления таких сведений;
− отзыв субъектом ПДн согласия на обработку его ПДн, если их сохранение для цели их обработки более не требуется, — в течение 30 дней с даты поступления указанного отзыва.
10.8 При достижении цели обработки ПДн или в случае утраты необходимости в достижении этой цели, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
− законодательством РФ не предусмотрены случаи, допускающие обработку ПДн без согласия субъекта;
− иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
− иное не предусмотрено другим соглашением между Красцветмет. ИТ и субъектом ПДн.
10.9 Уничтожение ПДн осуществляет ответственный за организацию обработки ПДн и/или комиссия по вопросам обработки и защиты ПДн.
10.10 Способы и порядок уничтожения ПДн установлены в локальных нормативных актах Красцветмет. ИТ.
11 ОБРАБОТКА ЭЛЕКТРОННЫХ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ, ВКЛЮЧАЯ COOKIE
11.1 Красцветмет. ИТ в целях обработки ПДн, установленных Политикой, может автоматически собирать электронные пользовательские данные, включая «cookie», на своих сайтах, без необходимости участия посетителей сайтов и совершения ими каких-либо действий по отправке данных. Обработка таких данных необходима для корректной и безопасной работы сайтов, а также продвижения товаров и услуг Красцветмет. ИТ.
11.2 Достоверность собранных электронных пользовательских данных, включая «cookie» в Красцветмет. ИТ не проверяется, информация обрабатывается в том виде, в каком она поступила.
11.3 Основанием обработки (в том числе передачи) электронных пользовательских данных, включая «cookie», является согласие на обработку ПДн, предоставляемое посетителями сайтов путем совершения конклюдентных действий:
− нажатие кнопки, например, «Принимаю»;
− закрытие уведомления о сборе и обработке таких данных;
− продолжение использования сайтов.
11.4 В случае несогласия с порядком использования электронных пользовательских данных, включая «cookie», посетители сайтов могут ограничить их использование в настройках браузера (при этом не гарантирована корректная работа всех функций сайта), покинуть или не использовать сайты Красцветмет. ИТ.
11.5 Информация о посещении сайтов, о действиях посетителей на сайтах может фиксироваться и передаваться в специализированные аналитические сервисы в целях, предусмотренных настоящей Политикой. К таким сервисам могут относится, например, «Яндекс.Метрика», «Yandex SmartCaptcha», инструменты статистики Tilda и другие. Данные, собираемые такими сервисами, могут также получать и обрабатывать третьи лица, например, ООО "Яндекс" (политика конфиденциальности: https://yandex.ru/legal/confidential/), ООО «Тильда Паблишинг» (политика конфиденциальности: https://tilda.cc/ru/privacy/).
12 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1 Субъект ПДн имеет право:
− получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных законодательством РФ. Сведения субъекту ПДн предоставляются Красцветмет. ИТ в доступной форме, в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлены законодательством РФ;
− требовать от Красцветмет. ИТ уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
− дать предварительное согласие на обработку ПДн в целях продвижения на рынке товаров, работ и услуг;
− отозвать свое согласие на обработку ПДн;
− обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Красцветмет. ИТ при обработке его ПДн;
− на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
− по всем вопросам обработки и защиты ПДн обращаться по адресу privacy@kit-digital.ru
− иные права, предусмотренные законодательством РФ.
13 ПРАВА И ОБЯЗАННОСТИ КРАСЦВЕТМЕТ. ИТ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1 Красцветмет. ИТ имеет право:
− самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ;
− поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Красцветмет. ИТ, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством РФ, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
− в случае отзыва субъектом ПДн согласия на обработку ПДн Красцветмет. ИТ вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в законодательстве РФ;
− иные права, предусмотренные законодательством РФ.
13.2 Красцветмет. ИТ обязан:
− организовывать обработку ПДн в соответствии с требованиями законодательства РФ;
− отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями законодательства РФ;
− сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмет. ИТ необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
− в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) ПДн;
− не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом;
− иные обязанности, предусмотренные законодательством РФ.
14 ВНЕСЕНИЕ ИЗМЕНЕНИЙ
Инициатором разработки изменения может быть любое заинтересованное подразделение компании. Разработку изменений к Политике осуществляет владелец документа.
15 ПРИЛОЖЕНИЯ
Приложение 1. Цели, перечень субъектов персональных данных, чьи персональные данные обрабатываются в ООО «Красцветмет. ИТ», и сроки обработки персональных данных субъектов персональных данных.