Политика в отношении обработки персональных данных АО "Мэри Кэй"
1. Общие положения
- Настоящая Политика в отношении обработки персональных данных АО "Мэри Кэй" (далее – Политика) определяет основные принципы и цели обработки персональных данных и меры по обеспечению их безопасности в АО "Мэри Кэй" (далее – Компания).
- Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.
- Настоящая Политика разработана в соответствии с Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.
- Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных, а также может быть изменена в любое время по усмотрению Компании.
- Понятия, используемые в настоящей Политике, толкуются согласно их определению в Федеральном законе РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
2. Принципы и цели обработки персональных данных в Компании
- Цели обработки персональных данных, правовые основания обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований указаны в Приложении к настоящей Политике.
- Компания осуществляет обработку персональных данных на законной и справедливой основе и ограничивается достижением конкретных заранее определенных и законных целей.
- При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
- Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено законодательством).
- Компания осуществляет обработку специальных категорий персональных данных лиц, при этом Компания выполняет требования к осуществлению обработки таких категорий персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и Трудовым кодексом РФ.
- Компания не осуществляет обработку биометрических персональных данных.
- Компания осуществляет трансграничную передачу персональных данных. При этом Компания выполняет требования к осуществлению трансграничной передачи персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.
- Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.
- В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
3. Права субъектов персональных данных, обрабатываемых в Компании
- Субъект персональных данных имеет право на уточнение своих персональных данных, их блокирование или уничтожение, прекращение передачи и иной обработки, получение информации, касающейся обработки их персональных данных. В этой связи субъект персональных данных может отправить письменный запрос на адрес: Российская Федерация, 125171, г. Москва, вн. тер. г. Муниципальный Округ Войковский, Ленинградское шоссе, д. 16А, стр. 3, в порядке, установленном ст. 10.1, 14, 20, 21 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.
4. Исполнение обязанностей оператора Компанией
- Компания получает персональные данные от субъектов персональных данных и от третьих лиц (лиц, не являющихся субъектами персональных данных). При этом Компания выполняет обязанности, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и Трудовым кодексом РФ при сборе персональных данных.
- Компания прекращает обработку персональных данных в следующих случаях:
- по достижении целей обработки либо утраты необходимости в достижении этих целей,
- по обоснованному требованию субъекта,
- в случае выявления неправомерной обработки (при невозможности обеспечить правомерную обработку),
- истечение срока или отзыв согласия,
- в случае прекращения деятельности оператора.
- Компанией для обеспечения выполнения обязанностей, предусмотренных Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:
- назначено лицо, ответственное за организацию обработки персональных данных;
- изданы документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
- осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;
- в соответствии с требованиями, установленными Роскомнадзором, проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;
- работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, а также локальных актов по вопросам обработки персональных данных, проводится обучение указанных работников;
- организован процесс приема и обработки обращений и запросов субъектов персональных данных или их представителей.
- В Компании реализуются следующие требования к защите персональных данных:
- обеспечивается безопасность помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- реализовано обеспечение сохранности носителей персональных данных;
- утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими трудовых обязанностей;
- используются средства защиты информации;
- назначен работник, ответственный за обеспечение безопасности персональных данных в информационной системе;
- реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Приложение к Политике в отношении обработки персональных данных АО "Мэри Кэй"
Цель обработки персональных данных (ПДн) 1: принятие решения о приеме либо отказе в приеме на работу.
Категории субъектов ПДн: соискатели на замещение вакантных должностей.
Категории и перечень обрабатываемых ПДн:
Персональные данные
фамилия, имя, отчество, пол, год, месяц, дата рождения, адрес регистрации, семейное положение, сведения об образовании, профессия, должность, доходы, сведения о трудовой деятельности, гражданство, номер телефона, адрес электронной почты, отношение к воинской обязанности, фотоизображение лица.
Способы обработки ПДн: Автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: до принятия решения о приеме либо отказе в приеме на работу/
в соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: согласие субъекта ПДн.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 2: формирование кадрового резерва.
Категории субъектов ПДн: соискатели на замещение вакантных должностей; работники, состоящие или состоявшие в трудовых отношениях с оператором.
Категории и перечень обрабатываемых ПДн:
Персональные данные
фамилия, имя, отчество, пол, год, месяц, дата рождения, место рождения, адрес места жительства, адрес регистрации, семейное положение, сведения об образовании, профессия, должность, доходы, сведения о трудовой деятельности, гражданство, номер телефона, адрес электронной почты, ИНН, СНИЛС; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; отношение к воинской обязанности, сведения о воинском учете, имущественное положение, реквизиты банковской карты, номер расчетного счета, номер лицевого счета; данные, содержащиеся в свидетельствах о заключении брака; данные, содержащиеся в свидетельствах о рождении; фотоизображение, видеоизображение, данные голоса человека, данные водительского удостоверения, данные виз.
Специальные категории персональных данных
Сведения о состоянии здоровья.
Способы обработки ПДн: автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: в соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: согласие субъекта ПДн.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: Штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающим дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 3: достижение целей, предусмотренных законодательством РФ, осуществление и выполнение возложенных законодательством РФ на работодателя функций, полномочий и обязанностей.
Категории субъектов ПДн: Работники, состоящие или состоявшие в трудовых отношениях с оператором; родственники работников, практиканты, контрагенты или представители контрагентов работников, предоставленные работники, родственники предоставленных работников, представители потенциальных и существующих поставщиков-юридических лиц, потенциальные и существующие поставщики – физические лица; контрагенты (по договору), вступающие, состоящие или состоявшие в договорных или иных гражданско-правовых отношениях с оператором (физические лица и индивидуальные предприниматели, в том числе независимые дистрибьюторы); родственники контрагентов, почетные национальные директора, участники ДТП, представители государственных и муниципальных органов, бенефициары оператора.
Категории и перечень обрабатываемых ПДн:
Персональные данные
фамилия, имя, отчество, пол, год, месяц, дата рождения, место рождения, адрес места жительства, адрес регистрации, семейное положение, имущественное положение, сведения об образовании, профессия, должность, доходы, сведения о трудовой деятельности, гражданство, номер телефона, адрес электронной почты, ИНН, СНИЛС; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; отношение к воинской обязанности, сведения о воинском учете, реквизиты банковской карты, номер расчетного счета, номер лицевого счета; данные, содержащиеся в свидетельствах о заключении брака; данные, содержащиеся в свидетельствах о рождении; фотоизображение, видеоизображение, данные голоса человека, данные водительского удостоверения, данные виз, данные свидетельства о регистрации индивидуального предпринимателя, данные свидетельства о смерти.
Специальные категории персональных данных
Сведения о состоянии здоровья.
Способы обработки ПДн: автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: документы, необходимые для исчисления, удержания и перечисления налога: 5 лет в соответствии с подп.5 п.3 ст.24НК РФ.
Бухгалтерская документация: 5 лет в соответствии со ст.29 Федерального закона № 402-ФЗ "О бухгалтерском учете".
Хранение документов в соответствии со сроками, установленными Приказом Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения".
Правовые основание обработки ПДн: Трудовой кодекс РФ. Налоговый кодекс РФ. Федеральный закон №402-ФЗ "О бухгалтерском учете". Гражданский кодекс РФ. Кодекс об административных правонарушениях РФ. Постановление Правительства РФ от 27 ноября 2006 г. № 719 "Об утверждении Положения о воинском учете" Федеральный закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" Федеральный закон "Об исполнительном производстве".
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: Штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 4: заключение и исполнение договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных.
Категории субъектов ПДн: работники, состоящие или состоявшие в трудовых отношениях с оператором; родственники работников, потенциальные и существующие поставщики – физические лица; контрагенты (по договору), вступающие, состоящие или состоявшие в договорных или иных гражданско-правовых отношениях с оператором (физические лица и индивидуальные предприниматели, в том числе независимые дистрибьюторы); родственники контрагентов, почетные национальные директора.
Категории и перечень обрабатываемых ПДн:
Персональные данные
фамилия, имя, отчество, пол, год, месяц, дата рождения, место рождения, адрес места жительства, адрес регистрации, семейное положение, имущественное положение, сведения об образовании, профессия, должность, доходы, сведения о трудовой деятельности, гражданство, номер телефона, адрес электронной почты, ИНН, СНИЛС; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; отношение к воинской обязанности, сведения о воинском учете, реквизиты банковской карты, номер расчетного счета, номер лицевого счета; данные, содержащиеся в свидетельствах о заключении брака; данные, содержащиеся в свидетельствах о рождении; фотоизображение, видеоизображение, данные голоса человека, данные водительского удостоверения, данные виз, данные свидетельства о регистрации индивидуального предпринимателя, данные свидетельства о смерти, данные свидетельств об усыновлении, данные документов об установлении попечительства, данные документов о признании несовершеннолетних полностью дееспособными, идентификационный номер.
Специальные категории персональных данных
Сведения о состоянии здоровья.
Способы обработки ПДн: Автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: Срок действия договора. В соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: Трудовой договор. Гражданско-правовой договор. Договор страхования. Согласие субъекта ПДн.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 5: информирование о новостях и событиях компании, новинках продукции, продвижение товаров и услуг компании.
Категории субъектов ПДн: контрагенты (по договору), вступающие, состоящие или состоявшие в договорных или иных гражданско-правовых отношениях с оператором (физические лица и индивидуальные предприниматели, в том числе независимые дистрибьюторы); конечные потребители косметики оператора; пользователи сайта.
Категории и перечень обрабатываемых ПДн:
Персональные данные:
фамилия, имя, отчество, пол, год, месяц, дата рождения, адрес места жительства, адрес регистрации, гражданство, номер телефона, адрес электронной почты; данные документа, удостоверяющего личность; ИНН, идентификационный номер, доходы, фотоизображение, сведения об образовании, семейное положение, профессия.
Способы обработки ПДн: автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: в соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: Согласие субъекта ПДн. Гражданский кодекс РФ.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: Штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 6: осуществление взаимодействия с контрагентами и партнерами.
Категории субъектов ПДн: контрагенты (по договору), вступающие, состоящие или состоявшие в договорных или иных гражданско-правовых отношениях с оператором (физические лица и индивидуальные предприниматели, в том числе независимые дистрибьюторы); представители потенциальных и существующих поставщиков-юридических лиц, предоставленные работники, представители иностранных компаний группы.
Категории и перечень обрабатываемых ПДн:
Персональные данные:
фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, гражданство, номер телефона, адрес электронной почты; данные документа, удостоверяющего личность; ИНН, идентификационный номер, доходы, должность, сведения о трудовой деятельности, фотоизображение.
Способы обработки ПДн: автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: в соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: Согласие субъекта ПДн. Гражданский кодекс РФ.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: Штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 7: информационное обеспечение контрагентов в части проведения мероприятий.
Категории субъектов ПДн: контрагенты (по договору), вступающие, состоящие или состоявшие в договорных или иных гражданско-правовых отношениях с оператором (физические лица и индивидуальные предприниматели, в том числе независимые дистрибьюторы); гости, приглашаемые независимыми дистрибьютерами для участия в мероприятиях.
Категории и перечень обрабатываемых ПДн:
Персональные данные:
фамилия, имя, отчество, пол, год, месяц, дата рождения, место рождения, адрес регистрации, номер телефона, адрес электронной почты, доходы, идентификационный номер; данные документа, удостоверяющего личность; фотоизображение, видеоизображение, данные голоса человека.
Способы обработки ПДн: автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: в соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: Согласие субъекта ПДн.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 8: оказание услуг независимым дистрибьюторам.
Категории субъектов ПДн: контрагенты (по договору), вступающие, состоящие или состоявшие в договорных или иных гражданско-правовых отношениях с оператором (физические лица и индивидуальные предприниматели, в том числе независимые дистрибьюторы); конечные потребители косметики оператора.
Категории и перечень обрабатываемых ПДн:
Персональные данные:
фамилия, имя, отчество, пол, год, месяц, дата рождения, адрес места жительства, адрес регистрации, гражданство, номер телефона, адрес электронной почты; данные документа, удостоверяющего личность; ИНН, идентификационный номер, доходы, фотоизображение, сведения об образовании, семейное положение, профессия.
Способы обработки ПДн: автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: в соответствии со сроком, указанным в согласии субъекта ПДн
Правовые основание обработки ПДн: Согласие субъекта ПДн.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований
Цель обработки персональных данных (ПДн) 9: автоматизация учета деятельности независимых дистрибьютеров и организации размещения ими заказов на продукцию "Мэри Кэй", а также учета их обращений.
Категории субъектов ПДн: контрагенты (по договору), вступающие, состоящие или состоявшие в договорных или иных гражданско-правовых отношениях с оператором (физические лица и индивидуальные предприниматели, в том числе независимые дистрибьюторы); родственники контрагентов.
Категории и перечень обрабатываемых ПДн:
Персональные данные:
фамилия, имя, отчество, год, месяц, дата рождения, гражданство, адрес регистрации, номер телефона, адрес электронной почты, ИНН; данные документа, удостоверяющего личность; идентификационный номер, фотоизображение, номер расчетного счета, реквизиты банковской карты, семейное положение.
Способы обработки ПДн: автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: в соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: Согласие субъекта ПДн.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 10: исполнение мотивационных программ, включая начисление и выплату вознаграждений, возмещение расходов независимым дистрибьютерам и др.
Категории субъектов ПДн: контрагенты (по договору), вступающие, состоящие или состоявшие в договорных или иных гражданско-правовых отношениях с оператором (физические лица и индивидуальные предприниматели, в том числе независимые дистрибьюторы); родственники контрагентов.
Категории и перечень обрабатываемых ПДн:
Персональные данные:
фамилия, имя, отчество, год, месяц, дата рождения, гражданство, семейное положение, адрес регистрации, доходы, номер телефона, адрес электронной почты, ИНН; данные документа, удостоверяющего личность; идентификационный номер, фотоизображение, данные водительского удостоверения, данные свидетельства о регистрации индивидуального предпринимателя, номер расчетного счета, реквизиты банковской карты, размер одежды.
Специальные категории персональных данных
Сведения о состоянии здоровья.
Способы обработки ПДн: Автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: в соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: Согласие субъекта ПДн.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.
Цель обработки персональных данных (ПДн) 11: получение маркетинговых и статистических сведений.
Категории субъектов ПДн: посетители сайтов, пользователи сайтов, конечные потребители косметики оператора.
Категории и перечень обрабатываемых ПДн:
Персональные данные:
фамилия, имя, отчество, пол, адрес места жительства, адрес регистрации, номер телефона, адрес электронной почты, фотоизображение, видеоизображение, данные голоса человека; сведения, собираемые посредством метрических программ.
Способы обработки ПДн: автоматизированная обработка и без использования средств автоматизации.
Сроки обработки и хранения ПДн / Условия прекращения обработки ПДн: в соответствии со сроком, указанным в согласии субъекта ПДн.
Правовые основание обработки ПДн: согласие субъекта ПДн.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований: штатными средствами программного обеспечения ИСПДн. ПДн на бумажных носителях уничтожаются путем шредирования указанных носителей, исключающего дальнейшую обработку ПДн.