ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Назначение Политики

Настоящая Политика определяет принципы и условия обработки персональных данных, а также реализуемые меры по защите персональных данных в ООО «Май-Брендс».

2. Область применения

Настоящая Политика распространяется на все подразделения ООО «Май-Брендс».

3. Термины и сокращения

3.1. Термины и определения

Термин Определение
Персональные данные Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Оператор персональных данных (оператор) Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Обработка персональных данных Любое действие (операция) или совокупность действий (операций) с персональными данными, которые совершаются с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных Обработка персональных данных с помощью средств вычислительной техники
Распространение персональных данных Действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Предоставление персональных данных Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Блокирование персональных данных Временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных)
Уничтожение персональных данных Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
Обезличивание персональных данных Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Информационная система персональных данных Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Трансграничная передача персональных данных Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

3.2. Сокращения и расшифровки

Сокращение Расшифровка
ИБ Информационная безопасность
ИСПДн Информационная система персональных данных
Общество Общество с ограниченной ответственностью «Май-Брендс»

4. Цели и задачи Политики

Основными целями Политики являются:

  • организация обработки и защиты персональных данных в Обществе в соответствии с требованиями законодательства РФ, нормативными и методическими документами в области ИБ;
  • обеспечение соблюдения Обществом прав субъектов персональных данных. Достижение указанных целей обеспечивается выполнением следующих задач:
  • издание локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных в Обществе;
  • применение организационных и технических мер по обеспечению безопасности обрабатываемых персональных данных;
  • обучение работников Общества правилам обработки персональных данных и обеспечения ИБ;
  • организация взаимодействия с субъектами персональных данных;
  • регулярный контроль соответствия процессов обработки и защиты персональных данных требованиям законодательства РФ, нормативным и методическим документам в области ИБ.

5. Принципы обработки персональных данных

Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, установленных законодательством Российской Федерации:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
  • при обработке персональных данных обеспечивается точность, актуальность, достаточность персональных данных по отношению к целям обработки персональных данных, а также принимаются необходимые меры по уточнению или удалению неполных или неточных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, федеральные законы, договоры, стороной которого являются субъекты персональных данных;
  • обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

6. Субъекты персональных данных и состав обрабатываемых персональных данных

6.1. Субъекты персональных данных

К основным категориям субъектов персональных данных, чьи данные обрабатываются в Обществе, относятся:

  • соискатели на вакантные должности Общества, их рекомендатели;
  • работники, состоящие или состоявшие в трудовых отношениях с Обществом;
  • близкие родственники работников Общества;
  • работники юридических лиц ООО «МАЙ», ООО «Май-Риэлти», ООО «МайМаркет» (далее — Общества МАЙ);
  • члены совета директоров, члены правления Обществ МАЙ;
  • контрагенты (физические лица, индивидуальные предприниматели, представители юридических лиц, состоящие или состоявшие в гражданско-правовых отношениях с Обществом);
  • действующие и потенциальные потребители, участники рекламных акций и мероприятий, пользователи интернет-сайтов Обществ МАЙ;
  • посетители Общества.

6.2. Состав обрабатываемых персональных данных

Состав обрабатываемых персональных данных и способы обработки персональных данных для каждой категории субъектов персональных данных определены Перечнем обрабатываемых персональных данных, утвержденным Обществом.

В Обществе не допускается обработка следующих категорий персональных данных:

  • расовая принадлежность,
  • национальная принадлежность,
  • политические взгляды,
  • философские убеждения,
  • состояние интимной жизни,
  • религиозные убеждения.

В Обществе не обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

Сведения о состоянии здоровья работника Общества, которые относятся к возможности исполнять работником свои трудовые функции, обрабатываются исключительно в случаях, предусмотренных Трудовым кодексом РФ.

В Обществе не осуществляется обработка данных о судимости субъектов персональных данных.

7. Цели обработки персональных данных

Обработка персональных данных осуществляется Обществом в следующих целях:

  • подбор персонала на вакантные должности Обществ МАЙ;
  • ведение кадрового делопроизводства, бухгалтерского, налогового учета, исполнение обязательств Обществом, предусмотренных трудовыми договорами и законодательством Российской Федерации;
  • оформление банковской карты и/или прикрепление работника к зарплатному проекту, полисов добровольного медицинского страхования, страхования от несчастных случаев;
  • оформление доверенностей на представление интересов Общества;
  • оформление работникам сертификатов ключей электронной подписи в удостоверяющих центрах;
  • организация и проведение корпоративного обучения, содействие работникам в повышении квалификации;
  • предоставление служебного автотранспорта;
  • оформление визитных карточек работников;
  • создание и ведение справочников корпоративных информационных систем, информационное обеспечение деятельности на интернет-сайтах Обществ МАЙ и на страницах в социальных сетях;
  • заключение, исполнение, расторжение договоров с контрагентами;
  • исполнение актов органов государственной власти;
  • осуществление электронных рассылок информационного, маркетингового и рекламного характера;
  • организация и/или проведение маркетинговых мероприятий, рекламных акций;
  • анализ, сегментирование данных о потребителях и заказах;
  • прием и обработка обращений, запросов, претензий потребителей и иных лиц;
  • повышение эффективности и удобства работы с интернет-сайтом(-ами), регистрацияпользователей (создание учетной записи) на сайте(-ах), персонализация контента;
  • исполнение требований законодательства.

8. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных Обществом являются:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Устав Общества;
  • согласие субъекта на обработку персональных данных;
  • трудовой договор;
  • договор с субъектом персональных данных;
  • пользовательское соглашение, размещенное на интернет-сайтах Обществ МАЙ;
  • Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
  • Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
  • Федеральный закон от 07.07.2003 г. № 126-ФЗ «О связи»;
  • Федеральный закон от 13.03.2006 г. № 38-ФЗ «О рекламе»;
  • Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи».

9. Обработка персональных данных с использованием сайта

Пользователям сайта(-ов) может быть предложено пройти процедуру регистрации для участия в маркетинговых мероприятиях Общества посредством заполнения электронных форм сбора персональных данных. Обработка персональных данных будет осуществляться Обществом только в случае проставления пользователем отметки о согласии на обработку персональных данных и принятия условий пользовательского соглашения.

Пользователь вправе отозвать согласие на обработку персональных данных путем направления электронного документа, подписанного простой электронной подписью (учетных данных пользователя, указанных при регистрации на сайте), на адрес электронной почты privacy@theMay.com.

10. Доступ к персональным данным

Доступ к персональным данным может быть предоставлен:

  • работникам Общества в рамках исполнения функциональных обязанностей и полномочий, закрепленных в их должностных инструкциях либо предусмотренных локальными нормативными документами Общества;
  • представителям органов государственной власти, контролирующих, правоохранительных и иных органов, получающим доступ к персональным данным в объеме, порядке и условиях, установленных законодательством Российской Федерации;
  • третьим лицам с согласия субъекта персональных данных, с целью исполнения договорных обязательств перед субъектом персональных данных, а также с целью обеспечения своей деятельности;
  • сторонним организациям в целях использования вычислительных ресурсов, приложений, информационной инфраструктуры для обработки информации, направления электронных рассылок информационного и маркетингового характера. Общество может выступать как лицо, осуществляющее обработку персональных данных по поручению Обществ МАЙ.

Передача или поручение обработки персональных данных сторонним организациям осуществляется на основании заключенных договоров, обязательными условиями которых является обязанность по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также обязательство третьего лица использовать данные исключительно в заранее определенных целях и объемах.

При передаче или поручении обработки персональных данных сторонним организациям возможны случаи осуществления трансграничной передачи. В этом случае Общество следует требованиям законодательства Российской Федерации и осуществляет передачу только на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

11. Безопасность персональных данных

Руководство Общества заинтересовано в обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности, как с точки зрения требований законодательства Российской Федерации, так и с точки зрения оценки рисков для бизнеса.

Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного (в том числе случайного) доступа, изменения, уничтожения и других несанкционированных действий. А именно:

  • назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в Обществе;
  • утверждение локальных нормативных документов по вопросам обработки персональных данных и информационной безопасности, ознакомление с ними работников;
  • проведение обучающих мероприятий для работников по вопросам обработки персональных данных, обеспечения информационной безопасности;
  • обеспечение физической безопасности помещений и средств обработки: пропускной режим, охрана, видеонаблюдение;
  • ограничение и разграничение доступа работников, сторонних организаций к персональным данным и средствам обработки, мониторинг действий с персональными данными в информационных системах персональных данных (ИСПДн) Общества;
  • оценку вреда, который может быть причинен субъектам персональных данных, и определение актуальных угроз безопасности персональных данных при их обработке в ИСПДн Общества;
  • применение средств обеспечения безопасности ИСПДн (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе в необходимых случаях прошедших процедуру оценки соответствия в установленном порядке;
  • учет и хранение носителей информации, исключающие их хищение, подмену, несанкционированное копирование и уничтожение;
  • резервное копирование информации для возможности восстановления;
  • осуществление внутреннего контроля (аудита) за соблюдением установленного порядка обработки и защиты персональных данных, а также оценку эффективности принятых мер, реагирование на инциденты;
  • проверку наличия в договорах с третьими лицами и включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных;
  • иные меры в соответствии с локальными нормативными документами Общества в области ИБ.

12. Права субъекта персональных данных

Субъект персональных данных имеет право:

  • получать полную информацию об обработке своих персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • требовать исправления неверных или неполных персональных данных, а также удаления персональных данных, обработка которых ведется с нарушением законодательства Российской Федерации;
  • отозвать согласие на обработку персональных данных, данное им Обществу;
  • обжаловать в суде любые неправомерные действия или бездействие Общества при обработке и защите персональных данных субъекта.

13. Взаимодействие с субъектом персональных данных

Общество организовывает процессы взаимодействия с субъектами персональных данных таким образом, чтобы субъект мог обратиться в Общество по всем предусмотренным в законодательстве Российской Федерации вопросам, связанным с обработкой его персональных данных.

При оформлении субъектом обращений и запросов по вопросам обработки персональных данных рекомендуется использовать типовые формы, которые приведены в Приложениях А — Д к настоящей Политике.

Субъект персональных данных может обратиться в Общество по следующим каналам связи:

  • по электронной почте: privacy@theMay.com;
  • по почтовому адресу: Россия, 109235, г. Москва, Проектируемый проезд 4294-й, д. 19, стр. 11.

Обращение или запрос субъекта в виде электронного документа должен быть подписан простой электронной подписью (простой электронной подписью будет являться фамилия, имя, отчество субъекта и адрес электронной почты).

Для выполнения запроса субъекта на получение информации об обрабатываемых персональных данных Общество может потребовать дополнительную информацию:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных.

14. Контроль

В Обществе проводится внутренний контроль (аудит) соответствия процессов обработки персональных данных требованиям законодательства Российской Федерации. Контроль проводится в случаях:

  • создания новых процессов обработки персональных данных или внесения изменений в существующие процессы;
  • создания новых ИСПДн или внесения изменений в существующие ИСПДн;
  • изменения законодательства Российской Федерации, затрагивающего процессы обработки персональных данных в Обществе;
  • проведения ежегодных внутренних контрольных мероприятий на предмет оценки соответствия процессов обработки персональных данных требованиям законодательства Российской Федерации.