УТВЕРЖДЕНА
Приказом АО «ЧТПЗ»
от 06.06.2023 № 142

ПОЛИТИКА
в области обработки и обеспечения безопасности
персональных данных

Редакция № 0

Рег. № Ч-ПЛ-018/1/2023/0
от 06.06.2023

Челябинск – 2023

Содержание
1. Общие положения
1.1 Паспорт документа
1.2 Нормативные ссылки
1.3 Термины и определения, обозначения и сокращения
2. Основные сведения
3. Принципы и правовые основания обработки персональных данных
4. Категории субъектов персональных данных
5. Цели и способы обработки персональных данных
6. Порядок и условия обработки персональных данных
7. Обеспечение защиты и безопасности персональных данных
8. Права и обязанности субъектов персональных данных 
9. Права и обязанности Оператора
10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
11. Ответственность за нарушение правил обработки персональных данных и требований к защите персональных данных
12. Заключительные положения

1.Общие положения

1.1 Паспорт документа

Разработчик Григан Наталья Юрьевна
главный специалист бюро защиты информации, отдел экономической безопасности, дирекция экономической безопасности ОП ПАО «ТМК» в г. Челябинске (на основании договора оказания услуг)
Область регламентации Информационная безопасность
Назначение / Цель издания документа Выполнение требований действующего законодательства в области обработки персональных данных
Введён Впервые
Ответственный за контроль Начальник бюро защиты информации, дирекции экономической безопасности ОП ПАО «ТМК» в г. Челябинске (на основании договора оказания услуг)
Ответственный
за актуализацию Начальник бюро защиты информации, дирекции экономической безопасности ОП ПАО «ТМК» в г. Челябинске (на основании договора оказания услуг)
Область действия документа АО «ЧТПЗ»

1.2 Нормативные ссылки

Вид, дата и номер документа Заголовок документа
Федеральный закон от 27.07.2006 № 152-ФЗ (последняя редакция) О персональных данных

1.3 Термины и определения, обозначения и сокращения

Термины и определения
Термин Определение термина
Автоматизированная обработка персональных данных Обработка персональных данных с помощью средств вычислительной техники
Договор оказания услуг Договор оказания услуг от 24.08.2022 № ТМК-У-4/22 между ПАО «ТМК» и АО «ЧТПЗ»
Обработка персональных данных Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Оператор Юридическое лицо (АО «ЧТПЗ»), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Персональные данные Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Распространение персональных данных Действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Субъект персональных данных Физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных
Уничтожение персональных данных Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
Обозначения и сокращения
Сокращение/
обозначение Расшифровка
АО «ЧТПЗ», Общество, Оператор Акционерное общество «Челябинский трубопрокатный завод»
СМИ Средства массовой информации

2. Основные сведения

2.1 В рамках выполнения норм действующего законодательства Российской Федерации в полном объеме АО «ЧТПЗ» (далее – «Общество» или «Оператор») считает своими важнейшими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
2.2 Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – политика) разработана в соответствии с требованиями Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
2.3 Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и категории обрабатываемых в Обществе персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
2.4 Политика действует в отношении всех персональных данных, обрабатываемых в Обществе и является общедоступным документом.
2.5 Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных в Обществе.

3. Принципы и правовые основания обработки персональных данных

3.1 Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом «О персональных данных».
3.2 Общество производит обработку персональных данных при наличии хотя бы одного из следующих условий (правовых оснований):
- субъект персональных данных дал согласие на обработку персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, в том числе, но не ограничиваясь, согласно перечню нормативно-правовых актов, указанных в уведомлении об обработке персональных данных;
- обработка персональных данных необходима для осуществления прав и законных интересов Общества для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- иные условия, предусмотренные действующим законодательством Российской Федерации о персональных данных.
3.3 Общество вправе обрабатывать персональные данные для осуществления прав и обеспечения своих законных интересов. Например, в следующих случаях:
- обеспечение личной безопасности и защита жизни и здоровья работников (в том числе посредством организации пропускного контроля на объектах Общества);
- проверки контрагентов в соответствии с процедурой поддержания деловых отношений с контрагентом, принятой в Обществе;
- проведение контрольных и аудиторских проверок;
- обеспечение пропускного и внутриобъектового режимов в зданиях и помещениях Общества, обеспечения сохранности имущества;
- обеспечение защиты корпоративной информации и организации режима коммерческой тайны;
- подготовка доверенностей, выдаваемых работникам Общества.
3.4 Обработка персональных данных для обеспечения законных интересов Общества возможна в случаях, когда такая обработка не оказывает существенного влияния на интересы субъектов персональных данных, их фундаментальные права и свободы. При обработке персональных данных на указанном основании, Общество всегда будет стремиться поддерживать баланс между своими законными интересами и защитой конфиденциальности персональных данных.
3.5 Перед началом обработки персональных данных для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей, Общество проводит оценку возможности использования указанного правового основания.

4. Категории субъектов персональных данных

4.1 В Обществе осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
- работники Общества (в том числе уволенные);
- кандидаты на вакантные должности;
- родственники работников Общества;
- акционеры и члены Совета директоров Общества;
- лица, с которыми заключены договоры гражданско-правового характера;
- представители контрагентов (физические лица);
- посетители Общества;
- студенты образовательных организаций, проходящих практику в Обществе;
- другие субъекты персональных данных (для обеспечения реализации целей обработки персональных данных, указанных в пп. 5.1 политики).
4.2 Перечень персональных данных, обрабатываемых в Обществе, определяется по каждой категории субъектов персональных данных в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных и включает в себя, но не ограничиваясь, следующие персональные данные:
- фамилия, имя, отчество (в том числе прежние);
- дата и место рождения;
- изображение (фото и видео);
- пол;
- номер служебного телефона и адрес служебной электронной почты;
- адрес электронной почты, номер личного мобильного телефона;
- табельный номер;
- наименование занимаемой должности (профессии);
- номер пропуска;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика (ИНН);
- паспортные данные, включая данные заграничного паспорта и иного документа, удостоверяющего личность ((в том числе прежние) (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения)), а также иные сведения, содержащиеся в паспорте и ином документе, удостоверяющим личность;
- гражданство;
- адрес регистрации и адрес фактического проживания;
- сведения об образовании (включая реквизиты соответствующих документов) и местах обучения (город, образовательное учреждение, периоды обучения), данные о квалификации, навыках и иных деловых качествах;
- сведения о повышении квалификации и переподготовки, о результатах аттестации и оценочных процедур;
- сведения о трудовой деятельности, включая реквизиты и сведения трудового договора и дополнительных соглашений к трудовому договору, сведений работы по совместительству;
- сведения об опыте работы, местах предыдущей работы и осуществления предпринимательской деятельности;
- сведения о заработной плате;
- сведения о суммах начислений и удержаний из заработной платы (в т.ч. сторонними организациями, исполнительными органами), включая сведения об исчисленном налоге на доходы физического лица (НДФЛ), а также страховым взносам, в Социальный фонд России (СФР);
- сведения о семейном положении, составе и членах семьи (включая реквизиты соответствующих документов: свидетельств о браке, о рождении);
- сведения об установлении опеки, попечительства над несовершеннолетними детьми, об усыновлении детей (если применимо);
- сведения о состоянии здоровья, включая сведения об инвалидности и утрате трудоспособности (реквизиты и сведения медицинских документов), а также сведения, связанные с новой коронавирусной инфекцией (Covid-19) (если применимо), реквизиты полиса ОМС и ДМС (если применимо);
- данные о листках нетрудоспособности (реквизиты и сведения в данных документах);
- сведения о размере одежды, обуви (спецодежда/спецобувь) (если применимо);
- сведения о воинском учете, в том числе реквизиты воинского билета, категория запаса, состав (профиль), полное кодовое обозначение ВУС, иные сведения воинского билета;
- анкета и биографические данные, рекомендации;
- сведения о наказаниях, поощрениях;
- сведения о судимости (номер и наименование статьи УК РФ, вид и содержание наказания, вид и содержание противоправного деяния (если применимо);
- сведения о наградах и званиях;
- реквизиты банковского счета, необходимые для перечисления заработной платы;
- сведения о социальных льготах, компенсациях, гарантиях, пенсионном обеспечении и страховании;
- сведения о владении акциями (долями в уставном капитале) юридических лиц, в том числе Общества и его аффилированных лиц.

5. Цели и способы обработки персональных данных

5.1 Обработка персональных данных осуществляется в следующих целях:
- содействие работникам и кандидатам в трудоустройстве и продвижении по службе, контроль количества и качества выполняемой работы, соблюдение норм трудового законодательства и иных актов, содержащих нормы трудового права. Подбор персонала и формирования кадрового резерва;
- осуществление информационного обеспечения Общества, облегчение коммуникаций между работниками посредством выпуска корпоративных СМИ, а также ведения справочников, корпоративного портала, мобильного приложения, содержащих контактную и иную деловую информацию, организация корпоративных и спортивных мероприятий;
- организация и осуществление Обществом обучения, повышения квалификации, профессиональной подготовки работников;
- организация и управление служебными поездками и командировками работников (включая помощь в бронировании билетов/гостиниц, оформлении виз); оформление визитных карточек, предоставление услуг такси, организация курьерских услуг;
- выполнение Обществом принятых на себя социальных обязательств в отношении работников и членов их семей (добровольное медицинское страхование, выплата материальной помощи, оформление путевок/предоставление компенсаций за путевки, предоставление подарков);
- обеспечение личной безопасности и защиты жизни и здоровья работников (в том числе посредством организации пропускного контроля на объектах Общества), обеспечение защиты информации ограниченного доступа (информации, составляющей коммерческую тайну, персональные данные) и организация режима коммерческой тайны;
- заключение и исполнение гражданско-правовых договоров, в том числе договоров на оказание услуг;
- проверка контрагентов в соответствии с процедурой поддержания деловых отношений с контрагентом, принятой в Обществе;
- соблюдение законодательства Российской Федерации об акционерных обществах, о раскрытии информации;
- соблюдение антимонопольного законодательства;
- соблюдение законодательства о ценных бумагах;
- формирование отчетности или подготовка предусмотренных в законодательстве заявлений, уведомлений и т.д. в Социальный фонд России, Федеральный фонд обязательного медицинского страхования, Федеральную налоговую службу и другие государственные органы и службы;
- проведение контрольных и аудиторских проверок;
- получение лицензий;
- подготовка доверенностей, выдаваемых работникам Общества, работникам иных организаций и физическим лицам, организация выпуска квалифицированной электронной подписи работнику в целях реализации трудовой функции;
- обеспечение электронного взаимодействия с органами власти, управлениями, министерствами и ведомствами на цифровых платформах, а также при реализации законных интересов Общества при предоставлении государственных и муниципальных услуг;
- исполнение иных обязательств, в рамках правовых оснований, перечисленных в пп. 3.2 политики.
5.2 Обработка персональных данных в Обществе осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных).
5.3 При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Общества и с использованием информационно-телекоммуникационной сети «Интернет».

6. Порядок и условия обработки персональных данных

6.1 К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
6.2 Общество осуществляет обработку специальных категорий персональных данных о состоянии здоровья, относящихся к возможности выполнения работниками трудовой функции в соответствии с положениями ст. 10 Федерального закона «О персональных данных». Общество вправе осуществлять обработку специальных категорий персональных данных о состоянии здоровья кандидатов на вакантные должности в случае получения согласия от субъекта персональных данных на такую обработку.
6.3 Общество обеспечивает обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
6.4 Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством, на основании заключаемого с этим лицом договора.
6.5 В поручении Общества (договоре) определяется перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных и иные данные, перечисленные в ст. 6 Федерального закона «О персональных данных».
6.6 Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
6.7 Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации, а также третьим лицам, обозначенным в согласиях на обработку персональных данных.
6.8 Персональные данные хранятся в течение периода, необходимого для выполнения целей, для которых такие данные были предоставлены или в течение периода, предусмотренного законодательством. Персональные данные уничтожаются по достижению целей/истечения периода для их обработки персональных данных.

7. Обеспечение защиты и безопасности персональных данных

Общество предпринимает все необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
- назначение ответственного лица за организацию обработки персональных данных;
- издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ними нормативными правовыми актами, локальными актами Общества;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, локальными актами Общества в отношении обработки персональных данных и обучение указанных работников;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием соответствующих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8. Права и обязанности субъектов персональных данных

8.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Обществом.
8.2 Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокировки или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными, или не являются необходимыми для заявленной цели обработки.
8.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.4 Для реализации защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору путем направления соответствующего запроса в письменной форме по адресу: 454129, Челябинская область, г. Челябинск, ул. Машиностроителей, 21.
8.5 Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.6 Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, привлечения виновных лиц к ответственности и урегулирования спорных ситуаций в досудебном порядке.
8.7 Субъект персональных данных вправе обжаловать действия и бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8.8 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.9 Субъекты персональных данных обязуются предоставлять только достоверные данные о себе.

9. Права и обязанности Оператора

9.1 Оператор обязан предоставить сведения об обработке персональных данных по запросу субъекта персональных данных.
9.2 Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление данных является обязательным в соответствии с федеральным законом.
9.3 Оператор обязан при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
9.4 Оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним.
9.5 Оператор вправе обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью.

10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных

10.1 Субъекты персональных данных имеют право получать информацию, касающуюся обработки их персональных данных в Обществе, в соответствии с требованиями Федерального закона «О персональных данных».
10.2 Общество обязуется в течение 10 рабочих дней[ Указанный срок может быть продлен при определенных обстоятельствах, установленных Федеральным законом «О персональных данных», но не более чем на 5 рабочих дней] с даты получения соответствующего запроса/достижения цели обработки персональных данных:
- прекратить обработку или обеспечить прекращение такой обработки, а также уничтожить или обеспечить уничтожение персональных данных в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных»;
- предоставить возможность ознакомления с персональными данными при обращении субъекта персональных данных или его представителя;
- предоставить мотивированный ответ с обоснованием отказа в предоставлении информации о наличии персональных данных.
10.3 Общество обязуется в течение 30 календарных дней с даты получения соответствующего запроса/достижения цели обработки персональных данных прекратить обработку или обеспечить прекращение такой обработки, а также уничтожить или обеспечить уничтожение персональных данных в случае достижения цели обработки персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных».
10.4 Общество обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
10.5 В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения.
10.6 В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные.
10.7 Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

11. Ответственность за нарушение правил обработки персональных данных и требований к защите персональных данных

Работники Общества, участвующие в обработке персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.

12. Заключительные положения

12.1 Политика является общедоступной и подлежит размещению по адресу
https://chtpz.tmk-group.ru/chtpz_man_docs.
12.2 Политика подлежит изменению и/или дополнению в случае необходимости, в том числе в случае внесения изменений в нормативные правовые акты в сфере персональных данных.
12.3 Все отношения с участием Общества, касающиеся обработки и защиты персональных данных и не получившие непосредственного отражения в политике, регулируются согласно положениям действующего законодательства Российской Федерации о персональных данных.

УТВЕРЖДЕНА
Приказом АО «ЧТПЗ»
от 06.06.2023 № 142

ПОЛИТИКА
в области обработки и обеспечения безопасности
персональных данных

Редакция № 0

Рег. № Ч-ПЛ-018/1/2023/0
от 06.06.2023

Челябинск – 2023

Содержание
1. Общие положения
1.1 Паспорт документа
1.2 Нормативные ссылки
1.3 Термины и определения, обозначения и сокращения
2. Основные сведения
3. Принципы и правовые основания обработки персональных данных
4. Категории субъектов персональных данных
5. Цели и способы обработки персональных данных
6. Порядок и условия обработки персональных данных
7. Обеспечение защиты и безопасности персональных данных
8. Права и обязанности субъектов персональных данных 
9. Права и обязанности Оператора
10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
11. Ответственность за нарушение правил обработки персональных данных и требований к защите персональных данных
12. Заключительные положения

1.Общие положения

1.1 Паспорт документа

Разработчик Григан Наталья Юрьевна
главный специалист бюро защиты информации, отдел экономической безопасности, дирекция экономической безопасности ОП ПАО «ТМК» в г. Челябинске (на основании договора оказания услуг)
Область регламентации Информационная безопасность
Назначение / Цель издания документа Выполнение требований действующего законодательства в области обработки персональных данных
Введён Впервые
Ответственный за контроль Начальник бюро защиты информации, дирекции экономической безопасности ОП ПАО «ТМК» в г. Челябинске (на основании договора оказания услуг)
Ответственный
за актуализацию Начальник бюро защиты информации, дирекции экономической безопасности ОП ПАО «ТМК» в г. Челябинске (на основании договора оказания услуг)
Область действия документа АО «ЧТПЗ»

1.2 Нормативные ссылки

Вид, дата и номер документа Заголовок документа
Федеральный закон от 27.07.2006 № 152-ФЗ (последняя редакция) О персональных данных

1.3 Термины и определения, обозначения и сокращения

Термины и определения
Термин Определение термина
Автоматизированная обработка персональных данных Обработка персональных данных с помощью средств вычислительной техники
Договор оказания услуг Договор оказания услуг от 24.08.2022 № ТМК-У-4/22 между ПАО «ТМК» и АО «ЧТПЗ»
Обработка персональных данных Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Оператор Юридическое лицо (АО «ЧТПЗ»), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Персональные данные Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Распространение персональных данных Действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Субъект персональных данных Физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных
Уничтожение персональных данных Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
Обозначения и сокращения
Сокращение/
обозначение Расшифровка
АО «ЧТПЗ», Общество, Оператор Акционерное общество «Челябинский трубопрокатный завод»
СМИ Средства массовой информации

2. Основные сведения

2.1 В рамках выполнения норм действующего законодательства Российской Федерации в полном объеме АО «ЧТПЗ» (далее – «Общество» или «Оператор») считает своими важнейшими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
2.2 Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – политика) разработана в соответствии с требованиями Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
2.3 Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и категории обрабатываемых в Обществе персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
2.4 Политика действует в отношении всех персональных данных, обрабатываемых в Обществе и является общедоступным документом.
2.5 Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных в Обществе.

3. Принципы и правовые основания обработки персональных данных

3.1 Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом «О персональных данных».
3.2 Общество производит обработку персональных данных при наличии хотя бы одного из следующих условий (правовых оснований):
- субъект персональных данных дал согласие на обработку персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, в том числе, но не ограничиваясь, согласно перечню нормативно-правовых актов, указанных в уведомлении об обработке персональных данных;
- обработка персональных данных необходима для осуществления прав и законных интересов Общества для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- иные условия, предусмотренные действующим законодательством Российской Федерации о персональных данных.
3.3 Общество вправе обрабатывать персональные данные для осуществления прав и обеспечения своих законных интересов. Например, в следующих случаях:
- обеспечение личной безопасности и защита жизни и здоровья работников (в том числе посредством организации пропускного контроля на объектах Общества);
- проверки контрагентов в соответствии с процедурой поддержания деловых отношений с контрагентом, принятой в Обществе;
- проведение контрольных и аудиторских проверок;
- обеспечение пропускного и внутриобъектового режимов в зданиях и помещениях Общества, обеспечения сохранности имущества;
- обеспечение защиты корпоративной информации и организации режима коммерческой тайны;
- подготовка доверенностей, выдаваемых работникам Общества.
3.4 Обработка персональных данных для обеспечения законных интересов Общества возможна в случаях, когда такая обработка не оказывает существенного влияния на интересы субъектов персональных данных, их фундаментальные права и свободы. При обработке персональных данных на указанном основании, Общество всегда будет стремиться поддерживать баланс между своими законными интересами и защитой конфиденциальности персональных данных.
3.5 Перед началом обработки персональных данных для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей, Общество проводит оценку возможности использования указанного правового основания.

4. Категории субъектов персональных данных

4.1 В Обществе осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
- работники Общества (в том числе уволенные);
- кандидаты на вакантные должности;
- родственники работников Общества;
- акционеры и члены Совета директоров Общества;
- лица, с которыми заключены договоры гражданско-правового характера;
- представители контрагентов (физические лица);
- посетители Общества;
- студенты образовательных организаций, проходящих практику в Обществе;
- другие субъекты персональных данных (для обеспечения реализации целей обработки персональных данных, указанных в пп. 5.1 политики).
4.2 Перечень персональных данных, обрабатываемых в Обществе, определяется по каждой категории субъектов персональных данных в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных и включает в себя, но не ограничиваясь, следующие персональные данные:
- фамилия, имя, отчество (в том числе прежние);
- дата и место рождения;
- изображение (фото и видео);
- пол;
- номер служебного телефона и адрес служебной электронной почты;
- адрес электронной почты, номер личного мобильного телефона;
- табельный номер;
- наименование занимаемой должности (профессии);
- номер пропуска;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика (ИНН);
- паспортные данные, включая данные заграничного паспорта и иного документа, удостоверяющего личность ((в том числе прежние) (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения)), а также иные сведения, содержащиеся в паспорте и ином документе, удостоверяющим личность;
- гражданство;
- адрес регистрации и адрес фактического проживания;
- сведения об образовании (включая реквизиты соответствующих документов) и местах обучения (город, образовательное учреждение, периоды обучения), данные о квалификации, навыках и иных деловых качествах;
- сведения о повышении квалификации и переподготовки, о результатах аттестации и оценочных процедур;
- сведения о трудовой деятельности, включая реквизиты и сведения трудового договора и дополнительных соглашений к трудовому договору, сведений работы по совместительству;
- сведения об опыте работы, местах предыдущей работы и осуществления предпринимательской деятельности;
- сведения о заработной плате;
- сведения о суммах начислений и удержаний из заработной платы (в т.ч. сторонними организациями, исполнительными органами), включая сведения об исчисленном налоге на доходы физического лица (НДФЛ), а также страховым взносам, в Социальный фонд России (СФР);
- сведения о семейном положении, составе и членах семьи (включая реквизиты соответствующих документов: свидетельств о браке, о рождении);
- сведения об установлении опеки, попечительства над несовершеннолетними детьми, об усыновлении детей (если применимо);
- сведения о состоянии здоровья, включая сведения об инвалидности и утрате трудоспособности (реквизиты и сведения медицинских документов), а также сведения, связанные с новой коронавирусной инфекцией (Covid-19) (если применимо), реквизиты полиса ОМС и ДМС (если применимо);
- данные о листках нетрудоспособности (реквизиты и сведения в данных документах);
- сведения о размере одежды, обуви (спецодежда/спецобувь) (если применимо);
- сведения о воинском учете, в том числе реквизиты воинского билета, категория запаса, состав (профиль), полное кодовое обозначение ВУС, иные сведения воинского билета;
- анкета и биографические данные, рекомендации;
- сведения о наказаниях, поощрениях;
- сведения о судимости (номер и наименование статьи УК РФ, вид и содержание наказания, вид и содержание противоправного деяния (если применимо);
- сведения о наградах и званиях;
- реквизиты банковского счета, необходимые для перечисления заработной платы;
- сведения о социальных льготах, компенсациях, гарантиях, пенсионном обеспечении и страховании;
- сведения о владении акциями (долями в уставном капитале) юридических лиц, в том числе Общества и его аффилированных лиц.

5. Цели и способы обработки персональных данных

5.1 Обработка персональных данных осуществляется в следующих целях:
- содействие работникам и кандидатам в трудоустройстве и продвижении по службе, контроль количества и качества выполняемой работы, соблюдение норм трудового законодательства и иных актов, содержащих нормы трудового права. Подбор персонала и формирования кадрового резерва;
- осуществление информационного обеспечения Общества, облегчение коммуникаций между работниками посредством выпуска корпоративных СМИ, а также ведения справочников, корпоративного портала, мобильного приложения, содержащих контактную и иную деловую информацию, организация корпоративных и спортивных мероприятий;
- организация и осуществление Обществом обучения, повышения квалификации, профессиональной подготовки работников;
- организация и управление служебными поездками и командировками работников (включая помощь в бронировании билетов/гостиниц, оформлении виз); оформление визитных карточек, предоставление услуг такси, организация курьерских услуг;
- выполнение Обществом принятых на себя социальных обязательств в отношении работников и членов их семей (добровольное медицинское страхование, выплата материальной помощи, оформление путевок/предоставление компенсаций за путевки, предоставление подарков);
- обеспечение личной безопасности и защиты жизни и здоровья работников (в том числе посредством организации пропускного контроля на объектах Общества), обеспечение защиты информации ограниченного доступа (информации, составляющей коммерческую тайну, персональные данные) и организация режима коммерческой тайны;
- заключение и исполнение гражданско-правовых договоров, в том числе договоров на оказание услуг;
- проверка контрагентов в соответствии с процедурой поддержания деловых отношений с контрагентом, принятой в Обществе;
- соблюдение законодательства Российской Федерации об акционерных обществах, о раскрытии информации;
- соблюдение антимонопольного законодательства;
- соблюдение законодательства о ценных бумагах;
- формирование отчетности или подготовка предусмотренных в законодательстве заявлений, уведомлений и т.д. в Социальный фонд России, Федеральный фонд обязательного медицинского страхования, Федеральную налоговую службу и другие государственные органы и службы;
- проведение контрольных и аудиторских проверок;
- получение лицензий;
- подготовка доверенностей, выдаваемых работникам Общества, работникам иных организаций и физическим лицам, организация выпуска квалифицированной электронной подписи работнику в целях реализации трудовой функции;
- обеспечение электронного взаимодействия с органами власти, управлениями, министерствами и ведомствами на цифровых платформах, а также при реализации законных интересов Общества при предоставлении государственных и муниципальных услуг;
- исполнение иных обязательств, в рамках правовых оснований, перечисленных в пп. 3.2 политики.
5.2 Обработка персональных данных в Обществе осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных).
5.3 При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Общества и с использованием информационно-телекоммуникационной сети «Интернет».

6. Порядок и условия обработки персональных данных

6.1 К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
6.2 Общество осуществляет обработку специальных категорий персональных данных о состоянии здоровья, относящихся к возможности выполнения работниками трудовой функции в соответствии с положениями ст. 10 Федерального закона «О персональных данных». Общество вправе осуществлять обработку специальных категорий персональных данных о состоянии здоровья кандидатов на вакантные должности в случае получения согласия от субъекта персональных данных на такую обработку.
6.3 Общество обеспечивает обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
6.4 Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством, на основании заключаемого с этим лицом договора.
6.5 В поручении Общества (договоре) определяется перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных и иные данные, перечисленные в ст. 6 Федерального закона «О персональных данных».
6.6 Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
6.7 Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации, а также третьим лицам, обозначенным в согласиях на обработку персональных данных.
6.8 Персональные данные хранятся в течение периода, необходимого для выполнения целей, для которых такие данные были предоставлены или в течение периода, предусмотренного законодательством. Персональные данные уничтожаются по достижению целей/истечения периода для их обработки персональных данных.

7. Обеспечение защиты и безопасности персональных данных

Общество предпринимает все необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
- назначение ответственного лица за организацию обработки персональных данных;
- издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ними нормативными правовыми актами, локальными актами Общества;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, локальными актами Общества в отношении обработки персональных данных и обучение указанных работников;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием соответствующих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8. Права и обязанности субъектов персональных данных

8.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Обществом.
8.2 Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокировки или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными, или не являются необходимыми для заявленной цели обработки.
8.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.4 Для реализации защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору путем направления соответствующего запроса в письменной форме по адресу: 454129, Челябинская область, г. Челябинск, ул. Машиностроителей, 21.
8.5 Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.6 Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, привлечения виновных лиц к ответственности и урегулирования спорных ситуаций в досудебном порядке.
8.7 Субъект персональных данных вправе обжаловать действия и бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8.8 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.9 Субъекты персональных данных обязуются предоставлять только достоверные данные о себе.

9. Права и обязанности Оператора

9.1 Оператор обязан предоставить сведения об обработке персональных данных по запросу субъекта персональных данных.
9.2 Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление данных является обязательным в соответствии с федеральным законом.
9.3 Оператор обязан при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
9.4 Оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним.
9.5 Оператор вправе обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью.

10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных

10.1 Субъекты персональных данных имеют право получать информацию, касающуюся обработки их персональных данных в Обществе, в соответствии с требованиями Федерального закона «О персональных данных».
10.2 Общество обязуется в течение 10 рабочих дней[ Указанный срок может быть продлен при определенных обстоятельствах, установленных Федеральным законом «О персональных данных», но не более чем на 5 рабочих дней] с даты получения соответствующего запроса/достижения цели обработки персональных данных:
- прекратить обработку или обеспечить прекращение такой обработки, а также уничтожить или обеспечить уничтожение персональных данных в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных»;
- предоставить возможность ознакомления с персональными данными при обращении субъекта персональных данных или его представителя;
- предоставить мотивированный ответ с обоснованием отказа в предоставлении информации о наличии персональных данных.
10.3 Общество обязуется в течение 30 календарных дней с даты получения соответствующего запроса/достижения цели обработки персональных данных прекратить обработку или обеспечить прекращение такой обработки, а также уничтожить или обеспечить уничтожение персональных данных в случае достижения цели обработки персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных».
10.4 Общество обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
10.5 В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения.
10.6 В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные.
10.7 Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

11. Ответственность за нарушение правил обработки персональных данных и требований к защите персональных данных

Работники Общества, участвующие в обработке персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.

12. Заключительные положения

12.1 Политика является общедоступной и подлежит размещению по адресу
https://chtpz.tmk-group.ru/chtpz_man_docs.
12.2 Политика подлежит изменению и/или дополнению в случае необходимости, в том числе в случае внесения изменений в нормативные правовые акты в сфере персональных данных.
12.3 Все отношения с участием Общества, касающиеся обработки и защиты персональных данных и не получившие непосредственного отражения в политике, регулируются согласно положениям действующего законодательства Российской Федерации о персональных данных.