ПОЛИТИКА ООО «НЕСТЛЕ РОССИЯ» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1 Назначение документа
Политика ООО «Нестле Россия» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных (далее – Политика) является основополагающим локальным актом компании, регулирующим вопросы обработки персональных данных в ООО «Нестле Россия» (далее – Общество).
Настоящая Политика разработана в соответствии с п.2 ч.1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и предназначена для ознакомления неограниченного круга лиц, в том числе – путём опубликования на веб-сайтах Общества.
Политика раскрывает основные категории субъектов, персональные данные которых обрабатываются Обществом, цели, способы и принципы обработки персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных при их обработке.
Положения настоящей Политики являются основой для разработки локальных актов Общества, регламентирующих вопросы обработки и защиты персональных данных в Обществе.
1.2 Область действия
Действие настоящей Политики распространяется на все процессы Общества, в рамках которых осуществляется обработка персональных данных как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.3 Основные понятия
В настоящей Политике используются следующие основные понятия:
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Общество / Работодатель – Общество с ограниченной ответственностью «Нестле Россия».
1.4 Утверждение и пересмотр
Настоящая Политика вступает в силу с 20 марта 2023 года и действует до принятия ее новой редакции.
Общество проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости при наступлении следующих условий:
-
при изменении нормативной базы, затрагивающей принципы и (или) процессы обработки персональных данных в Обществе;
-
при создании новых или внесении изменений в существующие процессы обработки персональных данных.
2. Цели сбора и обработки персональных данных
С целью поддержания деловой репутации и обеспечения выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, Общество, являясь оператором персональных данных с соответствующими правами и обязанностями, обеспечивает соответствие обработки персональных данных требованиям законодательства Российской Федерации, а также надлежащий уровень безопасности обрабатываемых персональных данных.
Обработка персональных данных в Обществе осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.
При обработке персональных данных обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Общество принимает и обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством.
Общество в рамках выполнения своей основной деятельности осуществляет обработку персональных данных своих работников, включая бывших работников (Работников); членов семей работников; соискателей вакантных должностей Общества, а также соискателей во внешнем кадровом резерве (Соискателей) и лиц, предоставляющих рекомендации соискателям на вакантные должности и включаемым во внешний кадровый резерв (Рекомендателей); контрагентов – физических лиц, индивидуальных предпринимателей, представителей контрагентов, в том числе работников, владельцев, включая бенефициарных владельцев, представителей, действующих на основании доверенности и иных представителей контрагентов, с которыми у Общества существуют договорные отношения, с которыми Общество намерено вступить в договорные отношения или которые намерены вступить в договорные отношения с Обществом (Контрагентов); конечных потребителей продукции под товарными знаками, права на использование которых на территории РФ принадлежит Обществу (продукция), участников рекламных и иных мероприятий, направленных на продвижение продукции, организуемых и (или) проводимых Обществом или по его поручению (Конечных потребителей); медицинских работников; представителей субъектов персональных данных, не являющихся работниками Общества; посетителей охраняемых помещений Общества (Посетителей); пользователей сайтов Общества в сети Интернет, направляющих сообщения в Общество посредством веб-форм обратной связи, в том числе покупателей интернет-магазинов (Пользователей сайтов), и незарегистрированных (неавторизованных) посетителей сайтов Общества в сети Интернет (Посетителей сайтов).
Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения приведены в Приложении 1 к Политике.
3. Правовые основания обработки персональных данных
Обработка персональных данных Обществом допускается в следующих случаях:
-
при наличии согласия Субъекта персональных данных на обработку его персональных данных;
-
обработка необходима для достижения целей, предусмотренных законодательством, а также для осуществления и выполнения возложенных законодательством на Общество функций, полномочий и обязанностей;
-
для заключения договора по инициативе Субъекта персональных данных и исполнения договора, стороной которого или выгодоприобретателем, по которому является Субъект персональных данных; такими договорами, без ограничения, являются трудовые договоры с работниками, договоры гражданско-правового характера с контрагентами – физическими лицами;
-
обработка необходима для осуществления прав и законных интересов Общества и/или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъектов персональных данных;
-
обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
-
обработка персональных данных, разрешенных Субъектом персональных данных для распространения;
-
персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.
4. Порядок и условия обработки персональных данных
В отношении персональных данных Общество осуществляет обработку смешанным способом (с использованием средств автоматизации, а также без использования средств автоматизации).
Общество осуществляет следующие действия (операции) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
В отношении всех категорий персональных данных Общество при сборе персональных данных обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
Общество в ходе своей деятельности поручает обработку персональных данных третьим лицам с согласия Субъектов персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, при обязательном условии соблюдения лицом, осуществляющим обработку персональных данных по поручению Общества, принципов и правил обработки и обеспечения безопасности персональных данных, установленных законодательством Российской Федерации.
В поручении на обработку персональных данных в обязательном порядке определяются:
-
перечень персональных данных;
-
обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных»;
-
перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, при этом перечень действий не должен противоречить целям и действиям, заявленным перед Субъектом персональных данных в договоре с оператором, согласии и т. п. документах;
-
цели обработки при этом не должны противоречить целям, заявленным перед Субъектом персональных данных в договоре с оператором, согласии и т. п. документах;
-
обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
-
требования к защите персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
Общество не размещает персональные данные Субъекта персональных данных в общедоступных источниках и не распространяет персональные данные неограниченному кругу лиц без предварительного согласия Субъекта персональных данных.
Общество в ходе своей деятельности осуществляет трансграничную передачу персональных данных юридическим лицам на территории иностранных государств. При этом вопросы обеспечения адекватной защиты прав Субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче являются приоритетом для Общества, решение которых реализуется в соответствии с законодательством Российской Федерации в области персональных данных.
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав Субъектов персональных данных, осуществляется только в случаях наличия согласия в письменной форме Субъекта персональных данных на трансграничную передачу его персональных данных; исполнения договора, стороной которого является Субъект персональных данных и который прямо предусматривает необходимость трансграничной передачи, а также в иных предусмотренных законодательством случаях.
В целях обеспечения адекватной защиты персональных данных Общество проводит оценку вреда, который может быть причинен Субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
С целью обеспечения безопасности персональных данных при их обработке Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Общество добивается того, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.
Руководство Общества осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности компании.
В Обществе назначено лицо, ответственное за организацию обработки персональных данных.
Каждый новый работник Общества, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и реализации требований к защите персональных данных и несет ответственность за их соблюдение.
В отношении всех категорий персональных данных хранение персональных данных осуществляется Обществом в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Обработка запросов Субъектов персональных данных
Для обеспечения соблюдения установленных законодательством прав Субъектов персональных данных в Обществе разработан и введён порядок работы с обращениями и запросами Субъектов персональных данных, а также порядок предоставления Субъектам персональных данных информации, установленной законодательством РФ в области персональных данных.
Запрос Субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (номер договора и дата заключения договора с Обществом, и (или) иные сведения, копию (отсканированную фотографию) сообщения в форме письма или в электронной форме, в виде смс-сообщения, полученных от Общества и т.п.), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись Субъекта персональных данных или его представителя, дату обращения.
Работники Общества не имеют право отвечать на вопросы, связанные с передачей или разглашением персональных данных по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
Запросы Субъектов персональных данных должны быть направлены по почте по адресу: ООО «Нестле Россия», 115054, г. Москва, Павелецкая пл., д.2, стр.1.
6. Порядок уничтожения персональных данных
Для обеспечения соблюдения установленных законодательством прав Субъектов персональных данных в Обществе разработан и введён порядок уничтожения ПДн.
ПДн подлежат уничтожению в следующих случаях:
-
по достижении целей обработки или в случае утраты необходимости в их достижении;
-
при выявлении фактов неправомерной обработки персональных данных (в том числе при обращении субъекта персональных данных), когда обеспечить их правомерность не представляется возможным;
-
при получении соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн;
-
в случае отзыва согласия субъекта на обработку ПДн, когда законных оснований продолжать такую обработку у Общества не имеется;
-
при истечении предусмотренного согласием субъекта или установленного локальными нормативными актами Общества срока обработки ПДн;
-
при отсутствии оснований осуществлять архивное хранение материальных носителей, содержащих такие ПДн.
Уничтожение ПДн должно производиться в течение 30 рабочих дней с момента обнаружения данных, подлежащих уничтожению, если иной срок не предусмотрен законодательством, соглашением с субъектом ПДн или согласием субъекта, за исключением ПДн, обрабатываемых неправомерно, которые должны быть уничтожены в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных.
В случае отсутствия возможности уничтожения ПДн в течение срока, указанного выше, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и последующее уничтожение ПДн в срок не более чем 6 месяцев.
Материальные носители персональных данных, находящиеся на архивном хранении, ПДн, содержащиеся в электронных архивах, архивные копии Баз персональных данных, содержащих уничтоженные ПДн, уничтожаются в соответствии с нормами законодательства об архивном деле в Российской Федерации.
7. Заключительные положения
Иные обязанности и права Общества как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
Должностные лица и Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
Положения Политики пересматриваются по мере необходимости. Обязательный пересмотр Политики проводится в случае существенных изменений обязательных для России норм международного права или действующего законодательства Российской Федерации в сфере персональных данных.
При внесении изменений в положения Политики учитываются:
-
изменения в информационной инфраструктуре и (или) в используемых Обществом информационных технологиях;
-
сложившаяся в Российской Федерации практика правоприменения законодательства в области персональных данных;
-
изменение условий и особенностей обработки персональных данных Обществом в связи с внедрением в его деятельность новых информационных систем, процессов и технологий.
Приложение №1 к Политике
1. Работники Общества
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Трудоустройство, реализация прав и исполнение обязанностей в рамках трудовых отношений с работником; Представление услуг по добровольному медицинскому страхованию, страхованию жизни (если осуществляется в Обществе) и иных дополнительных услуг за счет работодателя (платежные карты, негосударственное пенсионное обеспечение, обеспечение командировок, оплата услуг мобильной связи, предоставление парковочного места и пр.). |
Персональные данные Членов семей работников, а именно, следующие персональные данные: Общие:
|
Срок обработки и хранения персональных данных Работников Общества, в том числе бывших, с которыми трудовые договоры прекращены (расторгнуты) составляет:
|
2. Члены семей работников
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Предоставление льгот и гарантий, предусмотренных законодательством или локальными нормативными актами Работодателя; Информирование родственников о тяжелых несчастных случаях или несчастных случаях со смертельным исходом; Заключение, изменение, расторжение договоров добровольного медицинского страхования; Выполнение требований нормативных правовых актов органов государственного статистического учета. |
Персональные данные Членов семей работников, а именно, следующие персональные данные: Общие:
Специальные:
|
Срок обработки и хранения персональных данных Членов семей работников составляет:
|
3. Соискатели
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Подбор на замещение вакантных должностей Общества и формирование внешнего кадрового резерва Общества. |
Персональные данные Соискателей на вакантные должности в Обществе, а также соискателей во внешнем кадровом резерве Общества, а именно, следующие персональные данные: Общие:
|
Срок обработки и хранения персональных данных соискателей на вакантные должности в Обществе, а также соискателей во внешнем кадровом резерве Общества составляет:
|
4. Рекомендатели
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Получение информации об опыте, навыках и деловых качествах Соискателя. |
Персональные данные Рекомендателей, а именно, следующие персональные данные: Общие:
|
Срок обработки и хранения персональных данных Рекомендателей составляет:
|
5. Контрагенты
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Заключение гражданско-правовых договоров и исполнение обязательств по заключенным договорам, включая соблюдение обязательных процедур и действий, в целях ведения бухгалтерского учета и составления налоговой отчетности. |
Персональные данные Контрагентов, а именно, следующие персональные данные: Общие:
Специальные:
|
Срок обработки и хранения персональных данных представителей контрагентов составляет:
|
6. Конечные потребители
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Анализ статистической информации о потребителях продукции, их мнении о продукции, распространение информации о продукции и мероприятиях, проводимых и (или) организуемых Обществом или по его поручению; Проведение промо-акций и конкурсов. |
Персональные данные Конечных потребителей, а именно, следующие персональные данные: Общие:
|
Обработка и хранение персональных данных конечных потребителей осуществляется в течение 3 (трёх) лет после прекращения участия в промо-акции / конкурсе (для соблюдения сроков исковой давности) или с даты их получения (для ответов на вопросы или претензии). |
7. Медицинские работники
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Систематизация данных о медицинских работниках для формирования статистики о профессиональном мнении и предпочтениях видов и источников коммуникации профессионального назначения; Проведение маркетинговых исследований с целью изучения отношения медицинских работников к продукции; Своевременное информирование медицинских работников о показателях качества, эффективности и безопасности продукции, а также предоставление иной информации о продукции; Предоставление информации научного и образовательного характера, приглашения к участию в конференциях и исследованиях. |
Персональные данные Медицинских работников, а именно, следующие персональные данные: Общие:
|
Срок обработки и хранения персональных данных медицинских работников составляет 10 (десять) лет. |
8. Представители субъектов
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Выполнение Обществом действий по поручению Представителей субъектов персональных данных |
Персональные данные Представителей субъектов, а именно, следующие персональные данные: Общие:
|
Срок обработки и хранения персональных данных Представителей субъектов составляет 3 года со дня последнего контакта с Представителем субъекта персональных данных. |
9. Посетители
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Обеспечение возможности прохода в охраняемые помещения Общества лиц, не имеющих постоянных пропусков, контроля их убытия из охраняемых помещений, прохождение инструктажа по безопасности. |
Персональные данные Посетителей, а именно, следующие персональные данные: Общие:
|
Срок обработки и хранения персональных данных посетителей во внутренней системе Общества составляет 30 дней с даты прекращения пропуска и 45 лет с даты прекращения ведения журнала учета Посетителей. |
10. Пользователи сайтов
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Продажа продукции в интернет-магазинах, доставка, возврат и замена продукции; Обратная связь с Обществом, оформление подписки на новостные и маркетинговые рассылки, участие в маркетинговых мероприятиях; Использование сервисов сайтов. |
Персональные данные Пользователей сайтов, а именно, следующие персональные данные: Общие:
|
Срок обработки и хранения персональных данных Пользователей сайтов составляет:
|
11. Посетители сайтов
Цели обработки ПДн | Категории и перечень обрабатываемых данных |
---|---|
Информирование о деятельности Общества, реализуемой продукции и услугах, мероприятиях, проводимых и (или) организуемых Обществом или по его поручению и сбор данных о предпочтениях Посетителей сайта. |
Персональные данные Посетителей сайтов, а именно, следующие персональные данные: Общие:
|
Обработка и хранение персональных данных посетителей сайтов осуществляется до момента удаления Посетителем сайтов cookies со своего компьютера. По истечении сроков обработки и хранения всех перечисленных выше категорий персональных данных, соответствующие персональные данные подлежат уничтожению в порядке, предусмотренном в разделе 6 настоящей Политики. |