Политика в отношении обработки и защиты персональных данных ОАО «Красцветмет»

1 ОБЩИЕ ПОЛОЖЕНИЯ
Область применения
1 Целью данной политики в отношении обработки и защиты персональных данных (далее – Политика) является:
— определение порядка обработки и защиты персональных данных работников ОАО «Красцветмет» (далее – Красцветмет) и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий Красцветмета;
— обеспечение защиты прав и свобод человека и гражданина;
— защита прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, в Красцветмете.
2 Целью создания системы защиты персональных данных в Красцветмете является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий, путем обеспечения:
— конфиденциальности;
— целостности;
— доступности;
— невозможности отказа от авторства;
— учета;
— аутентичности;
— адекватности.
3 Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает Красцветмет, и раскрывает основные категории персональных данных, цели, способы и принципы обработки персональных данных, права и обязанности Красцветмета при обработке персональных данных, права субъектов персональных данных.
4 Политика является общедоступным документов, декларирующим концептуальные основы деятельности Красцветмета при обработке персональных данных и подлежит опубликованию на официальном сайте Красцветмета для обеспечения неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, а также на страницах (формах) сайтов Красцветмета в сети «Интернет», с использованием которых осуществляется сбор персональных данных.
5 Субъекты персональных данных, чьи данные обрабатываются Красцветметом самостоятельно ознакамливаются с данной Политикой, размещенной на официальном сайте Красцветмета.
6 Цели обработки, категории субъектов, объем и категории обрабатываемых персональных данных отражаются в локальных нормативных актах Красцветмета, регулирующими порядок обработки и защиты персональных данных, а также в согласиях субъектов персональных данных (оформляемых в случае требований законодательства РФ).
7 Данная Политика вступает в действие с даты ее утверждения уполномоченным лицом и действует до ее отмены.
8 Действие настоящей Политики распространяется на всех работников компании, а также работников иных организаций, которые получили доступ к информационным ресурсам компании, содержащим персональные данные, в соответствии со своими должностными обязанностями и заключенными договорами.

Ответственность
1 Ответственность за разработку и введение положения несет владелец документа.
2 Ответственность за регистрацию и обеспечение доступа к Политике в информационной системе несет специалист группы менеджмента качества.
3 Ответственность за соблюдение требований законодательства РФ, данной Политики и иных локальных актов Красцветмета, регулирующих порядок обработки персональных данных, несут должностные лица Красцветмета в пределах своих полномочий, определенных локальными актами Красцветмета.
4 Общий контроль за соблюдением требований законодательства РФ, данной Политики и иных локальных нормативных актов Красцветмета осуществляет уполномоченное лицо, ответственное за организацию обработки персональных данных в Красцветмете.
5 Уполномоченные лица, ответственные за организацию обработки персональных данных и за обеспечение безопасности персональных данных, а также их ответственность определяются приказами и локальными нормативными актами Красцветмета.
6 Руководители структурных подразделений несут ответственность за соблюдение установленных в Красцветмете требований по защите персональных данных сотрудников своего подразделения.
7 Должностные лица Красцветмета, допущенные к обработке персональных данных, несут персональную ответственность за соблюдение требований законодательства РФ и локальных нормативных актов Красцветмета по работе с персональными данными лиц, к обработке которых допущено данное должностное лицо.
8 За нарушение требований законодательства по защите персональных данных виновные лица могут быть привлечены в порядке, установленном законодательством РФ к уголовной, административной, гражданской, материальной, дисциплинарной ответственности.

2 НОРМАТИВНЫЕ ССЫЛКИ
Обозначение Наименование нормативного документа
СТО 80.168-1-2021 Требования к содержанию, изложению, порядку согласования,
утверждения, введения в действие и внесения изменений в
документы ОАО «Красцветмет»

3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Красцветметом для установления личности субъекта персональных данных. К биометрическим персональным данным относится, в частности, фото, видеоизображение субъекта персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Должностное лицо – работник Красцветмета, уполномоченный осуществлять обработку персональных данных субъектов персональных данных и несущие все установленные законодательством виды ответственности за нарушение порядка обработки и сохранности персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
— сбор;
— запись;
— систематизацию;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение;
— использование;
— передачу (распространение, предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение персональных данных.
Общедоступные источники персональных данных – источники персональных данных (в том числе справочники, адресные книги), к которым не ограничен доступ третьих лиц и работников Красцветмета. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, номер рабочего и\или личного телефона, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Оператор – Красцветмет, самостоятельно или совместно с другими юридическими и физическими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством РФ.
Посетитель сайта – лицо, имеющее доступ к сайту Оператора посредством информационно-телекоммуникационной сети «Интернет» и использующее Сайт.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, заключившее трудовой договор с Красцветметом (работодателем, Оператором).
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
Субъект персональных данных – физическое лицо, чьи персональные данные обрабатывает Оператор.
Технические средства, позволяющие осуществлять обработку персональных данных – специальное оборудование, к которому относятся:
— средства вычислительной техники;
— информационно-вычислительные комплексы и сети;
— средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие средства обработки речевой, графической и буквенно-цифровой информации);
— программные средства (операционные системы, системы управления базами данных и прочее);
— средства защиты информации, применяемые в информационных системах.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угроза безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах.
Cookie – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
В случае, если действующее законодательство РФ будет содержать иное определение термина, для регулирования порядка обработки и защиты персональных данных, установленных настоящей Политикой и иными нормативными актами Красцветмета, применяется определение, установленное законодательством РФ

4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
ИСПДн – информационная система персональных данных;
Красцветмет – ОАО «Красцветмет»;
ПДн – персональные данные;
Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченный орган по защите прав субъектов персональных данных;

5 ПРИНЦИПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Обработка персональных данных должна осуществляться на законной и справедливой основе.
5.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональныхvданных, несовместимая с целями сбора персональных данных.
5.3 Цели обработки персональных данных отражаются в локальных нормативных актах Красцветмета, регулирующих порядок обработки и защиты персональных данных, а также в согласиях субъектов персональных данных.
5.4 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Для соблюдения данного принципа в Красцветмете применяются различные информационные системы, позволяющие разделить допуск должностных лиц к тем или иным персональным данным субъектов, необходимых должностным лицам, для осуществления своих трудовых функций.
5.5 При сборе персональных данных, в том числе посредством сети «Интернет», Красцветмет обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в законодательстве РФ.
5.6 При обработке персональных данных Красцветмет обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Красцветмет предпринимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных персональных данных.
5.7 Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством РФ.

6 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Правовым основанием обработки персональных данных для Красцветмета является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Красцветмет осуществляет обработку персональных данных, в том числе:
— Конституция Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; 
— Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
— Федеральный закон от 12.02.1998 №28-ФЗ «О гражданской обороне»;
— Федеральный закон от 18.07.2006 №109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
— Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;
— Федеральный закон от 02.10.2007 №229-ФЗ «Об исполнительном производстве»;
— Федеральный закон от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации»;
— Федеральный закон от 21.11.2011 №323 «Об основах охраны здоровья граждан в Российской Федерации»;
— Постановление Правительства РФ от 18.11.2020 №1853 «Об утверждении правил предоставления гостиничных услуг в Российской Федерации»;
— Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Приказ Роскомнадзора от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
— Приказ Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
— Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Красцветмета и организацией процесса обработки и защиты персональных данных.
6.2 Правовым основанием обработки персональных данных также являются:
— Устав Красцветмета;
— договоры, заключаемые между оператором и субъектом персональных данных;
— согласие субъекта персональных данных на обработку его персональных данных.

7 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным разделом 8 настоящей Политики.
7.2 Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом персональных данных Красцветмет имеет право:
— отказать в их принятии;
— уничтожить в присутствии субъекта персональных данных;
— использовать свои типовые формы по сбору персональных данных для исключения сбора избыточных персональных данных.
7.3 Красцветмет может обрабатывать персональные данные следующих категорий
субъектов персональных данных:
— работники компании и/или заказчика;
— родственники работников компании и/или заказчика;
— представители работников компании и/или заказчика;
— уволенные работники компании и/или заказчика;
— соискатели;
— студенты;
— посетители;
— контрагенты;
— представители контрагентов;
— бенифициарный владелец контрагента;
— учредитель/акционер контрагента;
— орган управления контрагента;
— выгодоприобретатели по договорам;
— члены Объединения ветеранов ОАО «Красцветмет»;
— посетители сайта.
7.4 Красцветмет осуществляет обработку биометрических персональных данных и специальных категорий персональных данных, касающихся состояния здоровья субъектов персональных данных, в соответствии с законодательством РФ.

8 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обработка Оператором персональных данных осуществляется в следующих целях:
— ведение кадрового учета;
— ведение бухгалтерского учета;
— подбор персонала (соискателей) на вакантные должности оператора;
— обеспечение прохождения ознакомительной, производственной или преддипломной практики;
— повышение квалификации, обучение, участие в конкурсах и выставках, получение удостоверений, свидетельств, документов о прохождении обучения;
— подготовка, заключение и исполнение гражданского-правового договора;
— подготовка, заключения, исполнения и прекращения договоров с контрагентами;
— осуществление доставки товара;
— продвижение товаров, работ, услуг на рынке;
— оказание медицинских услуг;
— оказание гостиничных услуг;
— размещение информации во внутрикорпоративных справочниках, порталах компании;
— оформления электронной подписи;
— оформление доверенностей;
— страхование;
— исполнение социальных программ;
— осуществление оплаты за питание в столовой компании;
— осуществление бронирования билетов, проживания, трансферов;
— обеспечение пропускного режима на территорию оператора;
— формирование аналитической отчетности;
— обеспечение автоматизированной обработки персональных данных, в том числе для обеспечения отказоустойчивости (резервного копирования);
— исполнение судебного акта;
— участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
— обеспечение соблюдения трудового законодательства РФ;
— обеспечение соблюдения законодательства РФ о гражданской обороне, чрезвычайных ситуациях и ликвидации последствий стихийных бедствий;
— обеспечение соблюдения законодательства РФ о противодействии легализации финансированию терроризма;
— обеспечение соблюдения законодательства РФ в сфере образования;
— обеспечение соблюдения законодательства РФ об исполнительном производстве;
— обеспечение соблюдения миграционного законодательства РФ;
— обеспечение соблюдения налогового законодательства РФ;
— обеспечение соблюдения архивного законодательства РФ;
— передача информации в Социальный фонд России.
8.2 Перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований описаны в Приложении 1.

9 ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством РФ.
9.2 Обработка персональных данных субъектов включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
9.3 Красцветмет осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных.
9.4 Красцветмет не осуществляет трансграничную передачу персональных данных.
9.5 В Красцветмете могут создаваться общедоступные источники персональных данных (сайт, информационный стенд). Персональные данные (фамилия, имя, отчество, должность, квалификация, год рождения и иные персональные данные, сообщаемые субъектом персональных данных) могут включаться в такие источники только при наличии письменного согласия субъекта персональных данных.
9.6 К обработке персональных данных допускаются работники Красцветмета, в должностные обязанности которых входит обработка персональных данных.
9.7 Если предоставление персональных данных является обязательным в соответствии с федеральным законом, работник Красцветмета, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
9.8 Обработка персональных данных для каждой цели обработки, указанной в разделе 8 настоящей Политики, осуществляется путем:
— получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
— внесения персональных данных в журналы, реестры и информационные системы Красцветмета;
— использования иных способов обработки персональных данных.
9.9 Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При необходимости согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных,
разрешенных субъектом персональных данных для распространения, утверждены
Приказом Роскомнадзора от 24.02.2021 №18.
9.10 Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства РФ.
9.11 Красцветмет принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
9.12 Красцветмет реализует меры по организации обработки и обеспечению безопасности персональных данных, обрабатываемых без средств автоматизации, в том числе:
— для каждой категории персональных данных определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ;
— обеспечено раздельное хранение персональных данных материальных носителей), обработка которых осуществляется в различных целях;
— соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ при хранении материальных носителей.
9.13 Реализуются меры по защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн), в том числе:
— определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
— определяется уровень защищенности персональных данных при их обработке в информационных системах;
— выполняются требования по защите персональных данных в ИСПДн в соответствии с определенными уровнями защищенности персональных данных;
— применяются необходимые средства защиты информации;
— осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
— осуществляется учет машинных носителей персональных данных;
— осуществляется обнаружение фактов НСД к персональным данным и принятие необходимых мер;
— осуществляется восстановление персональных данных, модифицированных или уничтоженных вследствие НСД к ним;
— устанавливаются правила доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в ИСПДн, там, где это необходимо;
— контролируются принимаемые меры по обеспечению безопасности персональных данных и уровень защищенности ИСПДн.
9.14 Принципы и требования по обеспечению безопасности персональных данных распространяются на все возможные форматы предоставления персональных данных, такие как:
— документы;
— изображения;
— файлы;
— почтовые сообщения;
— базы данных;
— записи базы данных;
— другие информационные массивы.
9.15 Красцветмет осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
9.16 Персональные данные на бумажных носителях хранятся в Красцветмете в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ. В этом случае субъект персональных данных не может запретить обработку персональных данных или отозвать персональные данные, обработку которых Красцветмет осуществляет в соответствии с действующим архивным законодательством РФ.
9.17 Срок хранения персональных данных, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
9.18 Красцветмет прекращает обработку персональных данных в следующих случаях:
— выявлен факт их неправомерной обработки. Срок – в течение трех рабочих дней с даты выявления;
— достигнута цель их обработки;
— истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда обработка этих данных допускается только с согласия.
9.19 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Красцветмет прекращает обработку этих данных, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— Красцветмет не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ;
— иное не предусмотрено другим соглашением между Красцветметом и субъектом персональных данных.
9.20 При обращении субъекта персональных данных в Красцветмет с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Красцветметом соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмету необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

10 АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
10.1 Подтверждение факта обработки персональных данных в Красцветмете, правовые основания и цели обработки персональных данных, а также иные сведения, предоставляются Красцветметом субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмету следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Красцветметом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Красцветмете;
— подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Красцветмет предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
10.2 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Красцветмет осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Красцветмета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Красцветмет на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Красцветмета) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
10.3 В случае выявления неправомерной обработки персональных данных, осуществляемой Красцветметом или лицом, действующим по поручению Красцветмета, Красцветмет в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Красцветмета. В случае, если обеспечить правомерность обработки персональных данных невозможно, Красцветмет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
10.4 При выявлении Красцветметом, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Красцветмет:
— в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
— в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
10.5 Порядок уничтожения персональных данных в Красцветмете
10.5.1 Условия и сроки уничтожения персональных данных в Красцветмете:
— достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение 30 дней с даты достижения цели обработки персональных данных или утраты необходимости достигать эту цель;
— предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки – в течение 7 рабочих дней со дня представления таких сведений;
— отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в течение 30 дней с даты поступления указанного отзыва.
10.5.2 При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— Красцветмет не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ;
— иное не предусмотрено другим соглашением между Красцветметом и субъектом персональных данных.
10.5.3 Уничтожение персональных данных осуществляет комиссия, созданная приказом заместителя генерального директора Красцветмета.
10.5.4 Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Красцветмет.

11 ОБРАБОТКА ЭЛЕКТРОННЫХ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ, ВКЛЮЧАЯ COOKIE
11.1 Красцветмет в целях обработки персональных данных, установленных Политикой, может собирать автоматически электронные пользовательские данные на своих сайтах, без необходимости участия посетителей сайтов и совершения ими каких либо действий по отправке данных.
11.2 Достоверность собранных таким способом электронных данных в Красцветмете не проверяется, информация обрабатывается в том виде, в каком она поступила с клиентского устройства.
11.3 На сайтах Красцветмета используется данные «cookie», обработка которых необходима для корректной работы сайтов, в частности:
— их функций, относящихся к доступу зарегистрированных пользователей;
— персонализации пользователей;
— повышения эффективности и удобства работы с сайтами;
— а также иных целей, предусмотренных настоящей Политикой.
11.4 Посетителям и пользователям сайтов Красцветмета могут показываться всплывающие уведомления о сборе и обработке данных «cookie» со ссылкой на настоящую Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления.
11.5 Принятие пользователем условий обработки «cookie» или закрытие всплывающего уведомления в соответствии с настоящей Политикой расценивается как согласие на обработку данных «cookie» на сайтах Красцветмета.
11.6 В случае если пользователь не согласен с обработкой «cookie», он должен принять на себя риск, что в таком случае функции и возможности сайта могут не быть доступны в полном объеме, а затем следовать по одному из следующих вариантов:
— произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные «cookie» для любых сайтов либо для конкретного сайта Красцветмета или сайта стороннего компонента;
— переключиться в специальный режим «инкогнито» браузера для использования сайтом «cookie» до закрытия окна браузера или до переключения обратно в обычный режим;
— покинуть сайт во избежание дальнейшей обработки «cookie».
11.7 Уведомления означают, что при посещении и использовании сайтов, информационных ресурсов Красцветмета в браузер на устройстве пользователя может сохраняться информация, позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя, специфичные для этих конкретных сайтов. Эта информация после сохранения в браузер и до истечения установленного срока действия или удаления с устройства будет отправляться при каждом последующем запросе на сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне Красцветмета.
11.8 Информация о посещении сайтов Красцветмета фиксируется установленными статистическими счетчиками сайтов и «Яндекс.Метрика», предоставляемая компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс). Подробнее ознакомиться с политикой конфиденциальности Яндекс можно по ссылке https://yandex.ru/legal/confidential/ , а узнать, как можно отказаться от их аналитических cookie-файлов, по ссылке https://yandex.ru/support/metrica/index.html.
11.9 Информация об использовании посетителями сайтов, собранная при помощи «cookie», может передаваться Яндексу и храниться на серверах Яндекса, расположенных на территории Российской Федерации. Яндекс обрабатывает эту информацию для оценки использования посетителем сайта, составления отчетов о деятельности сайта, и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса «Яндекс.Метрика».

12 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1 Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством РФ. Сведения предоставляются субъекту персональных данных Красцветметом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен законодательством РФ;
— требовать от Красцветмета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
— обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Красцветмета при обработке его персональных данных;
— иные права, предусмотренные законодательством РФ.

13 ПРАВА И ОБЯЗАННОСТИ КРАСЦВЕТМЕТА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1 Красцветмет имеет право:
— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ;
— поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Красцветмета, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
— в случае отзыва субъектом персональных данных согласия на обработку персональных данных Красцветмет вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в законодательстве РФ;
— иные права, предусмотренные законодательством РФ.
13.2 Красцветмет обязан:
— организовывать обработку персональных данных в соответствии с требованиями законодательства РФ;
— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями законодательства РФ;
— сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Красцветмету необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
— в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
— иные обязанности, предусмотренные законодательством РФ


 Приложение №1 к Политике в отношении обработки и защиты персональных данных


   УТВЕРЖДЕНА приказом от 19.06.2023 № 23-по-1248