Политика в области обработки и защиты персональных данных ООО «Май-Брендс» разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами и подзаконными актами Российской Федерации, определяющими порядок и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности персональных данных.
Положения настоящей Политики являются обязательными для исполнения всеми Работниками Общества, имеющими доступ к персональным данным.
Политика является общедоступной и подлежит размещению на официальных веб-сайтах ООО «Май-Брендс», или иным образом обеспечивается неограниченный доступ к настоящему документу.
Настоящая Политика подлежит пересмотру не реже 1 раза в три года, либо незамедлительно в случаях изменения процессов обработки персональных данных в Обществе, изменения законодательства и других нормативных правовых актов, определяющими порядок и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности персональных данных.
Персональные данные
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Оператор персональных данных (оператор)
Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных
Любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Общества МАЙ
Юридические лица Группы компаний МАЙ (ООО «МАЙ», ООО «Май-Риэлти», ООО «Май24», ООО «Май-Венче», ООО «Компания МАЙ», ООО «Май-Брендс», ООО «ВсёЧайКофе»)
Автоматизированная обработка персональных данных
Обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных
Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных
Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных
Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Уничтожение персональных данных
Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных
Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных
Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных
Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Контрагент
Юридическое лицо и/или индивидуальный предприниматель и/или физическое лицо, вступающее или намеревающееся вступить с Обществом в договорные отношения.
Субъект персональных данных
Физическое лицо, которое прямо или косвенно определено с помощью персональных данных
ИБ
Информационная безопасность
ИСПДн
Информационная система персональных данных
Общество
Общество с ограниченной ответственностью «Май-Брендс»
ПДн
Персональные данные
Основными целями Политики являются:
организация обработки и защиты персональных данных в Обществе в соответствии с требованиями законодательства РФ, нормативными и методическими документами в области ИБ;
обеспечение соблюдения Обществом прав субъектов персональных данных.
Достижение указанных целей обеспечивается выполнением следующих задач:
издание локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных в Обществе;
применение организационных и технических мер по обеспечению безопасности обрабатываемых персональных данных;
обучение работников Общества правилам обработки персональных данных и обеспечения ИБ;
организация взаимодействия с субъектами персональных данных;
регулярный контроль соответствия процессов обработки и защиты персональных данных требованиям законодательства РФ, нормативным и методическим документам в области ИБ.
Правовыми основаниями обработки персональных данных Обществом являются:
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Устав Общества;
Согласие субъекта на обработку персональных данных;
Трудовой договор;
Договор с субъектом персональных данных;
Пользовательское соглашение, размещенное на интернет-сайтах Обществ МАЙ;
Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
Федеральный закон от 07.07.2003 г. № 126-ФЗ «О связи»;
Федеральный закон от 13.03.2006 г. № 38-ФЗ «О рекламе»;
Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи».
Договор с Контрагентом;
Иные нормативные правовые акты Российской Федерации.
Общество осуществляет обработку персональных данных Субъектов в целях, общее определение которых приведено в таблице ниже. При этом конкретные цели обработки прямо устанавливаются в согласии на обработку персональных, которое дает Субъект.
Соискатели на вакантные должности Общества, их рекомендатели;
Рассмотрение резюме и отбор кандидатов (соискателей) на вакантную должность для дальнейшего трудоустройства в Обществе, а также согласования кандидатур в соответствии с локальными нормативными актами Общества;
Проверка отобранных кандидатов до заключения трудового договора;
Получение иной информации о кандидате (соискателе) на вакантную должность в Обществе.
Работники
Ведение кадрового делопроизводства, бухгалтерского, налогового учета, исполнение обязательств Обществом, предусмотренных трудовыми договорами и законодательством Российской Федерации;
Организация пропускного режима;
Оформление страховых полисов ДМС;
Предоставление служебного автотранспорта;
Содействие в оформлении банковской карты и/или прикрепление работника к зарплатному проекту;
Оформление работникам сертификатов ключей электронной подписи в удостоверяющих центрах;
Оформление доверенностей на представление интересов Общества;
Организация и проведение корпоративного обучения, содействие работникам в повышении квалификации;
Оформление визитных карточек работников;
Создание и ведение справочников корпоративных информационных систем, информационное обеспечение деятельности на интернет-сайтах Обществ МАЙ и на страницах в социальных сетях.
Родственники работников
Выполнение требований законодательства РФ, предъявляемых в силу заключенных трудовых договоров, в том числе:
Ведение личных карточек работников по форме Т-2;
Выполнение требований законодательства о социальном страховании, предоставление компенсаций и льгот;
Заключение, изменение, расторжение договоров добровольного медицинского страхования родственников работников.
Уволенные работники
Выполнение требований законодательства РФ, предъявляемых в силу заключенных трудовых договоров;
Выполнение требований к обработке персональных данных в рамках бухгалтерского и налогового учета.
Члены Совета директоров
Исполнение требований Федерального закона от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью", а также иных требований законодательства РФ.
Контрагенты (физические лица, индивидуальные предприниматели, представители юридических лиц, состоящие или состоявшие в гражданскоправовых отношениях с Обществом);
Заключение, изменение, расторжение договоров, выполнение обязательств по заключенным договорам, а также выполнение соответствующих требований, предусмотренных законодательством РФ.
Действующие и потенциальные потребители, участники рекламных акций и мероприятий, пользователи интернетсайтов Обществ МАЙ;
Прием и обработка обращений, запросов, претензий потребителей и иных лиц;
Анализ, сегментирование данных о потребителях и заказах;
Повышение эффективности и удобства работы с интернет-сайтом(ами), регистрация пользователей (создание учетной записи) на сайте(ах), персонализация контента;
Осуществление электронных рассылок информационного, маркетингового и рекламного характера;
Организация и /или проведение маркетинговых мероприятий, рекламных акций.
Заявители (физические лица, индивидуальные предприниматели, представители юридических лиц, направившие свои обращения в Общества МАЙ по любым каналам связи);
Выполнение соответствующих требований, предусмотренных законодательством РФ.
Посетители Общества.
Организация пропускного режима
В Обществе не допускается обработка следующих категорий персональных данных:
расовая принадлежность;
национальная принадлежность;
политические взгляды;
философские убеждения;
состояние интимной жизни;
религиозные убеждения
В Обществе не обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
Сведения о состоянии здоровья работника Общества, которые относятся к возможности исполнять работником свои трудовые функции, обрабатываются исключительно в случаях, предусмотренных Трудовым кодексом РФ.
В Обществе не осуществляется обработка данных о судимости субъектов персональных данных.
Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, установленных законодательством Российской Федерации:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
при обработке персональных данных обеспечивается точность, актуальность, достаточность персональных данных по отношению к целям обработки персональных данных, а также принимаются необходимые меры по уточнению или удалению неполных или неточных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, федеральные законы, договоры, стороной которого являются субъекты персональных данных;
обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации;
обеспечение безопасности персональных данных, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер.
Общество не принимает решения, порождающие юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме Субъекта персональных данных.
Общество обрабатывает персональные данные субъектов с использованием средств автоматизации и без использования таких средств посредством их сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставление, доступ, распространение), обезличивания, блокирования, удаления, уничтожения персональных данных.
Общество вправе передавать персональные данные Субъектов третьим лицам, в том числе Контрагентам Общества, организаторам перевозок и другим юридическим лицам, только с согласия Субъекта персональных данных, если иное не предусмотрено федеральными законами, на основании заключаемого с третьими лицами договора.
Передача или поручение обработки персональных данных сторонним организациям осуществляется на основании заключенных договоров, обязательными условиями которых является обязанность по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также обязательство третьего лица использовать данные исключительно в заранее определенных целях и объемах.
Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
Персональные данные Субъектов, обрабатываемые Обществом, подлежат уничтожению или обезличиванию в случае:
достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
отзыва согласия Субъекта персональных данных на обработку его персональных данных (за исключением случаев, предусмотренных действующим законодательством Российской Федерации);
получение от Субъекта персональных данных требования об удалении его персональных данных (за исключением случаев, предусмотренных действующим законодательством Российской Федерации);
выявление неправомерной обработки персональных данных;
прекращения деятельности Общества.
Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором с Контрагентом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных.
Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
В случае подтверждения факта неточности персональных данных или неправомерности их обработки в Обществе, персональные данные подлежат актуализации, а обработка их прекращается.
При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, за исключением случаев:
дальнейшая обработка предусмотрена договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
Оператор вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством Российской Федерации.
Общество организовывает процессы взаимодействия с субъектами персональных данных таким образом, чтобы Субъект мог обратиться в Общество по всем предусмотренным в законодательстве Российской Федерации вопросам, связанным с обработкой его персональных данных.
В зависимости от информации, предоставленной в запросе, принимается решение о предоставлении доступа Субъекту персональных данных к его персональным данным, обрабатываемым в Обществе.
При оформлении субъектом обращений и запросов по вопросам обработки персональных данных рекомендуется использовать типовые формы, которые приведены в Приложениях А – Д к настоящей Политике.
Субъект персональных данных может обратиться в Общество по следующим каналам связи:
по электронной почте на адрес: privacy@theMay.com;
по почтовому адресу: 141191, Московская область, г.о. Фрязино, г. Фрязино, улица Озерная, д. 1а, стр. 1, ком. 336.
Обращение или запрос субъекта в виде электронного документа должен быть подписан простой электронной подписью (простой электронной подписью будет являться фамилия, имя, отчество субъекта и адрес электронной почты).
В случае, если данных предоставленных Субъектом персональных данных или его законным представителем недостаточно для идентификации Субъекта персональных данных или предоставление персональных данных нарушает конституционные права и свободы других лиц, Общество подготавливает мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ152 или иного федерального закона, являющего основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения Субъекта персональных данных.
Сведения о наличии персональных данных предоставляются Субъекту при ответе на запрос в течении семи дней от даты получения запроса Субъекта персональных данных.
Для выполнения запроса субъекта на получение информации об обрабатываемых персональных данных Общество может потребовать дополнительную информацию:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных.
В соответствии с ч. 4 ст. 20 ФЗ-152 Общество обязано сообщить в уполномоченный орган по защите прав Субъектов персональных данных по запросу информацию, необходимую для осуществления полномочий указанного органа, в течении десяти дней с даты получения такого запроса. Допускается запрос уполномоченного органа, направленный в электронном виде.
Субъект персональных данных имеет право на получение у Общества информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их изменения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на уточнение, изменение или удаление любых своих персональных данных в любое время.
Если Субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований действующего законодательства Российской Федерации или иным образом нарушает его права и свободы, Субъект персональных данных вправе обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных.
Пользователям сайта(ов) может быть предложено пройти процедуру регистрации для участия в маркетинговых мероприятиях Общества посредством заполнения электронных форм сбора персональных данных. Обработка персональных данных будет осуществляться Обществом только в случае проставления пользователем отметки о согласии на обработку персональных данных и принятия условий Пользовательского соглашения.
Пользователь вправе отозвать согласие на обработку персональных данных путем направления электронного документа, подписанного простой электронной подписью (учетных данных пользователя, указанных при регистрации на сайте) на адрес электронной почты privacy@theMay.com.
Руководство Общества заинтересовано в обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности, как с точки зрения требований законодательства Российской Федерации, так и с точки зрения оценки рисков для бизнеса.
Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного (в том числе, случайного) доступа, изменения, уничтожения и других несанкционированных действий, включающие в себя:
назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в Обществе;
утверждение локальных нормативных документов по вопросам обработки персональных данных, информационной безопасности, ознакомление с ними работников;
проведение обучающих мероприятий для работников по вопросам обработки персональных данных, обеспечения информационной безопасности;
обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
ограничение и разграничение доступа работников, сторонних организаций к персональным данным и средствам обработки, мониторинг действий с персональными данными в информационных системах персональных данных (ИСПДн) Общества;
оценку вреда, который может быть причинен субъектам персональных данных и определение актуальных угроз безопасности персональных данных при их обработке в ИСПДн Общества;
применение средств обеспечения безопасности ИСПДн (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе, в необходимых случаях прошедших процедуру оценки соответствия в установленном порядке;
учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
резервное копирование информации для возможности восстановления;
осуществление внутреннего контроля (аудита) за соблюдением установленного порядка обработки и защиты персональных данных, оценку эффективности принятых мер, реагирование на инциденты;
проверку наличия в договорах с третьими лицами и включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных;
иные меры в соответствии с локальными нормативными документами Общества в области ИБ.
В Обществе проводится внутренний контроль (аудит) соответствия процессов обработки персональных данных требованиям законодательства Российской Федерации. Контроль проводится в случаях:
создания новых процессов обработки персональных данных или внесения изменений в существующие процессы;
создания новых ИСПДн или внесения изменений в существующие ИСПДн;
изменения законодательства Российской Федерации, затрагивающего процессы обработки персональных данных в Обществе;
проведения ежегодных внутренних контрольных мероприятий на предмет оценки соответствия процессов обработки персональных данных требованиям законодательства Российской Федерации.