Политика в отношении обработки персональных данных

1.1.Настоящая политика определяет правила, установленные в 3М Казахстан (далее – Компания) в отношении обработки персональных данных.

1.2. Настоящая Политика подготовлена в соответствии с требованиями ФЗ «О персональных данных» № 152–ФЗ от 27.07.2006 года и действует в отношении всех персональных данных, обрабатываемых в Компании, которые могут быть получены от субъекта либо от представителя субъекта персональных данных, являющегося стороной по гражданско-правовому договору с Компанией, либо от юридического лица, вступившего с Компанией в гражданско-правовой договор, от субъекта персональных данных, состоящего с Компанией в трудовых отношениях, от посетителя офиса Компании, а также от посетителей Интернет-сайтов Компании и любых иных субъектов персональных данных.

1.3. Целью настоящей Политики является защита интересов Компании, ее контрагентов, партнеров и сотрудников, любых субъектов, предоставляющих Компании свои персональные данные, а также соблюдение законодательства РФ о персональных данных.

1.4. Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.

2.1. Действие настоящей Политики распространяется на процессы и процедуры в Компании, в рамках которых осуществляется обработка персональных данных всех субъектов и всех категорий, а также на подразделения, принимающие участие в вышеуказанных процессах независимо от того, является ли обработка персональных данных автоматизированной или неавтоматизированной.

2.2. Настоящая Политика подлежит опубликованию на Интернет-сайте www.solutions.3mrussia.ru, а также иных Интернет-сайтах Компании, которые предполагают предоставление посетителями своих персональных данных, с указанием даты утверждения документа.

2.3. Компания обязана обеспечить хранение приказов о вводе в действие новой версии Политики в течение 8 (восьми) лет с момента введения в действие новой версии Политики.

2.4. Все сотрудники, принимаемые на работу в Компанию, обязаны ознакомиться с настоящей Политикой под роспись.

2.5. Для регламентирования процедур и процессов обработки персональных данных Компания вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки персональных данных.

2.6. Настоящая политика вводится в действие приказом Генерального директора Компании и вступает в силу с момента ее утверждения.

Компания – 3М Казахстан

3.1.Контрагенты Компании – покупатели товаров Компании (дистрибьюторы, конечные пользователи, иные покупатели), поставщики товаров, работ и услуг для нужд Компании, иные контрагенты по гражданско-правовым договорам с Компанией, а также лица, выражающие намерение заключить гражданско-правовой договор с Компанией.

3.2.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.3.Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.4.Политика – настоящая политика в отношении обработки персональных данных в Компании.

3.5.Посетители – физические лица, в отношении которых осуществляются мероприятия по контролю доступа в офисы Компании.

3.6.Сотрудники Компании – штатные работники Компании, с которыми заключен трудовой договор и физические лица, с которыми у Компании заключен гражданско-правовой договор.

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны являться избыточными по отношению к заявленным целям обработки.

4.3. В Компании осуществляется смешанная (автоматизированная и неавтоматизированная) обработка персональных данных.

4.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети ""Интернет"", Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных действующим законодательством.

4.5. При обработке персональных данных обеспечивается их точность, достаточность и актуальность по отношению к заявленным целям их обработки.

4.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен нормативными актами РФ, применимыми нормами международного и иностранного права, соглашением субъекта персональных данных и Компании. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.7. Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых договоров или существования иных правоотношений между субъектом персональных данных и Компанией, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, установленными Приказом Минкультуры от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», иными требованиями законодательства РФ, нормативными документами Банка России, а также направлением субъектом персональных данных письменного уведомления Компании об отзыве согласия на обработку персональных данных.

4.8. Обработка персональных данных в целях проведения маркетинговых мероприятий путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи допускается только при условии получения согласия от субъекта персональных данных.

5.1. Целью обработки персональных данных Контрагентов Компании и их сотрудников является осуществление Компанией видов деятельности, предусмотренных учредительными документами Компании, а также предписанных действующим законодательством, а именно:

- импорт товара на территорию РФ;

- продажа товаров на территории РФ;

- переработка и последующая продажа товаров на территории РФ;

- осуществление маркетинговой деятельности и продвижения товаров Компании, в частности, проведение маркетинговых исследований в целях изучения рынка;

- осуществление рекламы реализуемых товаров;

- организация и проведение деловых/профессиональных мероприятий (семинары, конференции, конгрессы и т.д.), а также участие в таких мероприятиях, организуемых третьими лицами.

5.2. Целью обработки персональных данных сотрудников Компании является совершение всех необходимых действий в целях соблюдения законодательства и подзаконных нормативно-правовых актов в области трудовых и гражданско-правовых отношений, содействия сотруднику (потенциальному сотруднику) в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами и в соответствии с Трудовых кодексом РФ, Налоговым кодексом РФ, иными федеральными законами, в частности ФЗ «О персональных данных» от 27.07.2006 года № 152-ФЗ, ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 года № 27-ФЗ, осуществление медицинского страхования сотрудников, предоставление предусмотренных законодательством льгот и компенсаций.

5.3. Целью обработки персональных данных посетителей Компании является предоставление им допуска на территорию офисов Компании, а также обеспечение личной безопасности сотрудников и сохранности имущества Компании.

6.1. Обработка персональных данных в Компании допускается в следующих случаях:

- обработка персональных данных осуществляется при условии наличия письменного согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных действующим законодательством;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

- обработка персональных данных необходима для исполнения договора, стороной которого, либо третьим лицом, в пользу которого производится исполнение (например, грузополучателем), выгодоприобретателем, поручителем по договору, заключенному с Компанией, является субъект персональных данных;

- обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных с согласия субъектов персональных данных в целях продвижения товаров и услуг Компании на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее -персональные данные, сделанные общедоступными субъектом персональных данных);

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.2. В случае необходимости Компания может включить персональные данные субъектов в общедоступные источники (телефонные справочники, список сотрудников Компании согласно штатной структуре) персональных данных, при условии наличия письменного согласия Сотрудника на осуществление таких действий с его персональными данными.

6.3. Обработка специальных категорий персональных данных в Компании не производится.

6.4. Обработка биометрических персональных данных, на основании которых есть возможность определить субъекта персональных данных в Компании может производиться только на основании соответствующего письменного согласия субъекта персональных данных.

6.5. Обработка персональных данных, предполагающая трансграничную передачу таких данных в страну, не обеспечивающую адекватную защиту персональных данных, осуществляется только при условии наличия соответствующего письменного согласия субъектов персональных данных.

6.6. Обработка персональных данных о судимости контрагентов и их работников в Компании не осуществляется.

6.7. Обработка персональных данных о судимости Сотрудников допускается в случаях, предусмотренных действующим законодательством.

6.8. Компания вправе производить запись телефонных переговоров с физическими лицами, обращающимися по телефонам, опубликованным на Интернет-сайте www.solutions.3mrussia.ru, а также иных Интернет-сайтах Компании, для получения консультаций в отношении товаров и услуг Компании. Компания информирует звонящих абонентов об осуществлении записи до начала телефонного разговора.

6.9. Компания вправе поручить обработку персональных данных третьему лицу при условии наличия письменного согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с третьим лицом договора. При этом Компания в договоре с третьим лицом предусматривает обязанность такого третьего лица соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ «О персональных данных», настоящей Политикой, иными локальными нормативными актами Компании в области защиты персональных данных.

6.10. Передача персональных данных третьим лицам допускается с письменного согласия субъекта персональных данных.

6.11. В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.

6.12. Компания обязуется и обязует иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

6.13. Компания прекращает обработку персональных данных в следующих случаях:

- прекращение деятельности Компании;

- истечение сроков хранения документов, содержащих персональные данные, в соответствии с действующим законодательством;

- отзыв субъектом согласия на обработку своих персональных данных;

- получение Компанией письменного требования субъекта о прекращении обработки его персональных данных.

6.14. В случае получения Компанией письменного документа об отзыве согласия субъекта на обработку его персональных данных либо письменного требования субъекта о прекращении обработки его персональных данных, Компания прекращает обработку персональных данных в срок не более 30 (тридцати) календарных дней с момента получения таких документов, если иное не предусмотрено действующим законодательством и согласием субъекта на обработку его персональных данных.

7.1. Субъект персональных данных имеет право:

7.1.1. принимать решение о предоставлении его персональных данных Компании, а также третьим лицам, осуществляющим обработку персональных данных по поручению Компании; субъект персональных данных при даче своего согласия на обработку своих персональных данных тем самым заключает с Компанией соглашение о порядке обработки персональных данных;

7.1.2. отзывать согласие на обработку своих персональных данных;

7.1.3. предоставлять свои персональные данные Компании, а также дополнять и изменять их;

7.1.4. требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

7.1.5. требовать исключить свои персональные данные из общедоступных источников персональных данных;

7.1.6. требовать прекращения обработки своих персональных данных, осуществляемых в целях прямого маркетинга;

7.1.7. обжаловать действия Компании в уполномоченный орган о защите прав субъектов персональных данных или в судебном порядке, если он считает, что Компания осуществляет обработку его персональных данных с нарушением требований ФЗ «О персональных данных»;

7.1.8. получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Компанией;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Компанией способы обработки персональных данных;

- сведения о лицах (за исключением сотрудников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании ФЗ «О персональных данных»;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

- сроки обработки персональных данных, в том числе сроки хранения;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если такая обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные ФЗ «О персональных данных».

В соответствии с требованиями ФЗ № 152-ФЗ «О персональных данных» Компания обязана:

8.1.предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;

8.2.по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать их или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

8.3.вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение информации о персональных данных по этим запросам;

8.4.уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;

8.5.в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством РФ, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;

8.6.в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати календарных дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных, либо требованиями законодательства РФ;

8.7.уведомить субъекта персональных данных об уничтожении его персональных данных;

8.8.в случае поступления требования субъекта о прекращении обработки его персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.

9.1. Сотрудники Компании, допущенные к обработке персональных данных, обязаны:

- знать и неукоснительно выполнять требования настоящей Политики;

- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

- не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;

- пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;

- выявлять факты разглашения (уничтожения, искажения) персональных данных и незамедлительно сообщать о таких фактах лицу, ответственному за организацию обработки персональных данных.

9.2. Сотрудникам Компании, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные или электронные носители информации.

9.3. Обязанности Сотрудников Компании, допущенных к обработке персональных данных, регламентируются внутренними нормативными документами, устанавливающими правила обработки персональных данных в Компании.

10.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.2. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по исключению в дальнейшем такого доступа;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10.3. При обеспечении защиты персональных данных Компания руководствует требованиями действующего законодательства РФ, подзаконными нормативными актами, рекомендациями государственных органов исполнительной власти РФ.