Политика ООО «НЕСТЛЕ РОССИЯ» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных
1 Общие положения
1.1 Назначение документа
Политика ООО «Нестле Россия» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных (далее – Политика) является основополагающим локальным актом компании, регулирующим вопросы обработки персональных данных в ООО «Нестле Россия» (далее – Общество).
Настоящая Политика разработана в соответствии с п.2 ч.1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и предназначена для ознакомления неограниченного круга лиц, в том числе – путём опубликования на веб-сайтах Общества.
Политика раскрывает основные категории субъектов, персональные данные которых обрабатываются Обществом, цели, способы и принципы обработки персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных при их обработке.
Положения настоящей Политики являются основой для разработки локальных актов Общества, регламентирующих вопросы обработки и защиты персональных данных в Обществе.
1.2 Область действия
Действие настоящей Политики распространяется на все процессы Общества, в рамках которых осуществляется обработка персональных данных как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.3 Основные понятия
В настоящей Политике используются следующие основные понятия:
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Общество / Работодатель – Общество с ограниченной ответственностью «Нестле Россия».
1.4 Утверждение и пересмотр
Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Общества и действует до принятия ее новой редакции.
Общество проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:
- • при изменении нормативной базы, затрагивающей принципы и (или) процессы обработки персональных данных в Обществе;
- • при создании новых или внесении изменений в существующие процессы обработки персональных данных.
2 Цели сбора и обработки персональных данных
С целью поддержания деловой репутации и обеспечения выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, Общество, являясь оператором персональных данных с соответствующими правами и обязанностями, обеспечивает соответствие обработки персональных данных требованиям законодательства Российской Федерации, а также надлежащий уровень безопасности обрабатываемых персональных данных.
Обработка персональных данных в Обществе осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.
При обработке персональных данных обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Общество принимает и обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством.
Общество в рамках выполнения своей основной деятельности осуществляет обработку персональных данных своих работников, включая бывших работников (Работников); членов семей работников; соискателей вакантных должностей Общества, а также соискателей во внешнем кадровом резерве (соискателей) и лиц, предоставляющих рекомендации соискателям на вакантные должности и включаемым во внешний кадровый резерв (рекомендателей); контрагентов – физических лиц и индивидуальных предпринимателей, представителей контрагентов – юридических лиц и индивидуальных предпринимателей , (представителей контрагентов); конечных потребителей продукции под товарными знаками, права на использование которых на территории РФ принадлежит Обществу, участников рекламных и иных мероприятий, направленных на продвижение продукции Nestle ®, организуемых и (или) проводимых Обществом или по его поручению (конечных потребителей); медицинских работников; представителей субъектов персональных данных, не являющихся работниками Общества; посетителей охраняемых помещений Общества (посетителей); пользователей сайтов Общества в сети Интернет, направляющих сообщения в Общество посредством веб-форм обратной связи, в том числе покупателей интернет-магазинов (пользователей сайтов), и незарегистрированных (неавторизованных) посетителей сайтов Общества в сети Интернет (посетителей сайтов).
Обработка персональных данных вышеперечисленных субъектов персональных данных ведется Обществом в следующих целях:
- персональных данных работников Общества, в том числе бывших, с которыми трудовые договоры прекращены (расторгнуты):
- заключения, исполнения, сопровождения, изменения, расторжения трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работниками и Работодателем;
- исполнения Работодателем обязательств, предусмотренных локальными нормативными актами, трудовыми договорами, законодательством, в том числе в целях ведения кадрового и бухгалтерского учета, составления налоговой и другой статистической отчетности, расчета и выплаты заработной платы, иных вознаграждений, расчета и перечисления налогов и отчислений;
- содействия Работникам в обучении и продвижения по работе/карьерной лестнице;
- обеспечения личной безопасности Работников, контроля количества и качества выполняемой Работниками работы, обеспечения сохранности имущества, проведение обязательных медицинских осмотров;
- предоставления Работникам дополнительных услуг за счет Работодателя (платежные карты, страхование за счет Работодателя, негосударственное пенсионное обеспечение, обеспечение командировок, оплата услуг мобильной связи, предоставление парковочного места и пр.); выполнения требований нормативных правовых актов органов государственного статистического учета;
- обеспечения архивного хранения кадровых, бухгалтерских и других документов Работников в соответствии с законодательством РФ.
- персональных данных членов семей работников:
- предоставления Работникам льгот и гарантий, предусмотренных законодательством или локальными нормативными актами Работодателя;
- выполнения требований Трудового кодекса РФ об информировании членов семей Работников о тяжелых несчастных случаях или несчастных случаях со смертельным исходом;
- заключения, изменения, расторжения договоров добровольного медицинского страхования членов семей Работников;
- выполнения требований нормативных правовых актов органов государственного статистического учета.
- персональных данных соискателей на вакантные должности в Обществе, а также соискателей во внешнем кадровом резерве Общества:
- рассмотрения резюме и подбора кандидатов на вакантные должности для дальнейшего трудоустройства;
- ведения внешнего кадрового резерва.
- персональных данных рекомендателей:
- получения информации об опыте, навыках и личностных качествах соискателя;
- подтверждения информации и данных, содержащихся в полученных от соискателя письменных рекомендациях, а также получения иной информации о соискателе.
- персональных данных представителей контрагентов:
- выполнения норм Гражданского кодекса РФ, регулирующих договорную работу, заключения, изменения, расторжения договоров, а также выполнения обязательств по заключенным договорам;
- соблюдения и (или) исполнения процедур и действий, предусмотренных локальными нормативными актами и (или) законодательством Российской Федерации, в том числе в целях ведения бухгалтерского учета, составления налоговой отчетности.
- персональных данных конечных потребителей:
- сбора информации о потребителях продукции Nestle ®, мнении потребителей о продукции Nestle ®, в частности о ее качестве;
- с целью распространения информации о продукции Nestle ®;
- с целью информирования о мероприятиях, проводимых и (или) организуемых Обществом или по его поручению;
- проведения промо-акций и конкурсов.
- персональных данных медицинских работников:
- систематизации данных о медицинских работниках для формирования статистики о профессиональном мнении и предпочтениях видов и источников коммуникации профессионального назначения;
- проведения маркетинговых исследований с целью изучения отношения медицинских работников к продукции, маркированной товарными знаками, права на использование которых на территории РФ принадлежит Обществу;
- своевременного информирования медицинских работников о показателях качества, эффективности и безопасности продукции, маркированной товарными знаками, права на использование которых на территории РФ принадлежит Обществу, а также предоставления иной информации об указанной продукции;
- предоставления информации научного и образовательного характера, приглашения к участию в конференциях и исследованиях
- персональных данных представителей субъектов – выполнения Обществом действий по поручению Представителей субъектов персональных данных;
- персональных данных посетителей - обеспечения возможности прохода в охраняемые помещения Общества лиц, не имеющих постоянных пропусков, контроля их убытия из охраняемых помещений;
- персональных данных пользователей сайтов:
- продажи, приобретения продукции Nestle в интернет-магазинах, доставки ее покупателям, гарантийного и постгарантийного обслуживания, возврата или замены продукции Nestle ®;
- предоставления возможности воспользоваться формами обратной связи с Обществом, подписываться на новостные и маркетинговые рассылки.
- персональных данных посетителей сайтов — информирования о деятельности Общества, производимой и реализуемой Обществом продукции, предоставляемых Обществом услугах, о мероприятиях, проводимых и (или) организуемых Обществом или по его поручению, сбора информации о предпочтениях в области продукции Общества посетителей сайтов.
3 Правовые основания обработки персональных данных
Обработка персональных данных Обществом допускается в следующих случаях:
- при наличии согласия Субъекта персональных данных на обработку его персональных данных;
- обработка необходима для достижения целей, предусмотренных законодательством, а также для осуществления и выполнения возложенных законодательством на Общество функций, полномочий и обязанностей;
- для заключения договора по инициативе Субъекта персональных данных и исполнения договора, стороной которого или выгодоприобретателем по которому является Субъект персональных данных; такими договорами, без ограничения, являются трудовые договоры с работниками, договоры гражданско-правового характера с контрагентами – физическими лицами;
- обработка необходима для осуществления прав и законных интересов Общества и/или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъектов персональных данных;
- обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- обработка персональных данных, разрешенных Субъектом персональных данных для распространения;
- персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.
4 Порядок и условия обработки персональных данных
Общество при сборе персональных данных обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
Общество в ходе своей деятельности поручает обработку персональных данных третьим лицам с согласия Субъектов персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, при обязательном условии соблюдения лицом, осуществляющим обработку персональных данных по поручению Общества, принципов и правил обработки и обеспечения безопасности персональных данных, установленных законодательством Российской Федерации.
В поручении на обработку персональных данных в обязательном порядке определяются:
- обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных»;
- перечень действий с персональных данных, которые будут совершаться лицом, осуществляющим обработку персональных данных, при этом перечень действий не должен противоречить целям и действиям, заявленным перед Субъектом персональных данных в договоре с оператором, согласии и т. п. документах;
- цели обработки при этом цели не должны противоречить целям, заявленным перед Субъектом персональных данных в договоре с оператором, согласии и т. п. документах;
- обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
- требования к защите персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных» (требования по защите, предъявляемые к лицу, осуществляющему обработку, не должны быть выше требований, выполняемых самим оператором).
Общество не размещает персональные данные Субъекта персональных данных в общедоступных источниках и не распространяет персональные данные неограниченному кругу лиц без предварительного согласия Субъекта персональных данных.
Общество в ходе своей деятельности осуществляет трансграничную передачу персональных данных юридическим лицам на территории иностранных государств. При этом вопросы обеспечения адекватной защиты прав Субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче являются приоритетом для Общества, решение которых реализуется в соответствии с законодательством Российской Федерации в области персональных данных.
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав Субъектов персональных данных, осуществляется только в случаях наличия согласия в письменной форме Субъекта персональных данных на трансграничную передачу его персональных данных; исполнения договора, стороной которого является Субъект персональных данных и который прямо предусматривает необходимость трансграничной передачи, а также в иных предусмотренных законодательством случаях.
В целях обеспечения адекватной защиты персональных данных Общество проводит оценку вреда, который может быть причинен Субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
С целью обеспечения безопасности персональных данных при их обработке Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Общество добивается того, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.
Руководство Общества осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности компании.
В Обществе назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
Каждый новый работник Общества, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и реализации требований к защите персональных данных и несет ответственность за их соблюдение.
Хранение персональных данных осуществляется Обществом в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5 Обработка запросов Субъектов персональных данных
Для обеспечения соблюдения установленных законодательством прав Субъектов персональных данных в Обществе разработан и введён порядок работы с обращениями и запросами Субъектов персональных данных, а также порядок предоставления Субъектам персональных данных информации, установленной законодательством РФ в области персональных данных.
Данный порядок обеспечивает соблюдение следующих прав Субъекта персональных данных:
- право на получение информации, касающейся обработки персональных данных соответствующего Субъекта персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- применяемые Обществом способы обработки персональных данных;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими требованиями законодательства в области персональных данных.
- право на уточнение, блокирование или уничтожение своих персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области персональных данных меры по защите своих прав.
Запрос Субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (номер договора и дата заключения договора с Обществом, и (или) иные сведения, копию (отсканированную фотографию) сообщения в форме письма или в электронной форме, в виде смс-сообщения, полученных от Общества и т.п.), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись Субъекта персональных данных или его представителя, дату обращения.
Работники Общества не имеют право отвечать на вопросы, связанные с передачей или разглашением персональных данных по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
Запросы Субъектов персональных данных должны быть направлены по почте по адресу: ООО «Нестле Россия», 115054, г. Москва, Павелецкая пл., д.2, стр.1.