Политика ООО «МЕТРО КЭШ ЭНД КЕРРИ» в отношении персональных данных (клиенты, контрагенты)

1. Общие положения

Общество с ограниченной ответственностью «МЕТРО Кэш энд Керри» (ИНН 7704218694, ОГРН 1027700272148, юридический адрес: 125445 г.Москва, Ленинградское ш., 71Г) (далее – «МЕТРО», «Оператор») является зарегистрированным оператором персональных данных.

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и содержит общие сведения о порядке обработки и реализуемых требованиях к защите персональных данных (далее – «ПДн»).

Политика подлежит публикации на официальном сайте и иных сайтах, принадлежащих МЕТРО, при этом МЕТРО оставляет за собой право изменять положения настоящей Политики в любое время без предварительного уведомления, размещая актуальную версию на своих сайтах.

2. Основные понятия

В настоящей Политике используются следующие понятия:

• персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
• оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
• информационная система ПДн (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
• обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
• автоматизированная обработка - обработка ПДн с помощью средств вычислительной техники;
• распространение - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
• предоставление - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
• блокирование - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
• уничтожение - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
• обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
• трансграничная передача - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• конфиденциальность – обязательное для соблюдения требование не раскрывать третьим лицам и не допускать распространения ПДн без согласия субъектов ПДн или иного законного основания;
• защита – деятельность, направленная на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

3. Принципы обработки ПДн

При обработке ПДн неукоснительно соблюдаются принципы обработки, установленные 152-ФЗ:

• законности и справедливой основы;
• ограничения обработки достижением конкретных, заранее определенных и законных целей;
• недопущения обработки ПДн, несовместимой с целями сбора ПДн;
• недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработки только тех ПДн, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
• недопущения обработки ПДн, избыточных по отношению к заявленным целям обработки;
• обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
• удаления или уничтожения неполных или неточных данных;
• уничтожения либо обезличивания ПДн по достижении целей их обработки (или в случае утраты необходимости в достижении этих целей), при невозможности устранения Оператором допущенных нарушений ПДн, если иное не предусмотрено федеральным законом.

4. Основные права и обязанности субъекта ПДн

Права субъекта ПДн определены в Главе 3 152-ФЗ и включают в том числе следующие:

• право на доступ, т.е. право получать информацию об обработке ПДн (ст.14, 20 152-ФЗ) (также см. п.10.1 ниже);
• право на уточнение, дополнение: право требовать уточнения некорректных данных и дополнения неполных данных (ст.21 152-ФЗ);
• право на удаление: право возражать против обработки данных и требовать удаления неправомерно обрабатываемых ПДн (ст.21 152-ФЗ);
• право на отзыв согласия (ст.9, 21 152-ФЗ) (также см. п.11 ниже): в любое время для прекращения обработки данных; при этом факт отзыва не влияет на законность обработки данных, осуществлявшейся до отзыва и оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии иных законных оснований для обработки;
• право на обжалование: право обжаловать действия оператора в досудебном или судебном порядке (ст.17 152-ФЗ).О порядке направления и рассмотрения обращений и запросов см. далее п.10. Субъекты, ПДн которых обрабатываются в МЕТРО, обязаны:
• сообщать достоверную информацию о себе и предоставлять документы, содержащие ПДн, состав которых установлен законодательством Российской Федерации и локальными нормативными документами МЕТРО, в объеме, необходимом для цели обработки;
• своевременно уведомлять МЕТРО об изменении (обновлении, уточнении) своих ПДн.

5. Основные права и обязанности Оператора ПДн

Оператор ПДн обязан:

• обеспечить конфиденциальность ПДн (ст.7 152-ФЗ), т.е. не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом;
• предоставить субъекту ПДн по запросу информацию об обработке ПДн в объеме и порядке, установленном законом (ч.1 ст.18 152-ФЗ);
• разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн (ч.2 ст.18 152-ФЗ);
• до начала обработки ПДн, полученных от третьих лиц, сообщить об этом субъекту ПДн (ч.3 ст.18 152-ФЗ), за исключение случаев, указанных в ч.4 ст.18 152-ФЗ;
• при сборе ПДн граждан РФ обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ (ч.5 ст.18 152-ФЗ);
• предпринимать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных 152-ФЗ (ст.18.1 152-ФЗ), по обеспечению безопасности ПДн при их обработке (ст.19 152-ФЗ), по устранению выявленных нарушений, по уточненю, блокированию, уничтожению ПДн (ст.21 152-ФЗ).

Оператор вправе:

• запрашивать у субъекта ПДн сведения и документы, необходимы для обеспечения точности (уточнения) ПДн

6. Правовые основания обработки ПДн

ПДн могут обрабатываться в МЕТРО на следующих основаниях:

1. а) согласие (п.1 ч.1 ст.6 152-ФЗ);
2. б) исполнение договора (п.5 ч.1 ст.6 152-ФЗ);
3. в) выполнение обязанностей, возложенных законом на оператора (п.2 ч.1 ст.6 152-ФЗ);
4. г) осуществление прав и законных интересов оператора или третьих лиц (п.7 ч.1 ст.6 152-ФЗ).

7. Цели, категории ПДн, категории субъектов, способы и сроки обработки и хранения, порядок уничтожения ПДн

Обработка ПДн в МЕТРО ограничивается достижением законных, конкретных, заранее определенных целей, при этом обеспечивается соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки.

В соответствии с п.2 ч.1 ст.18.1 152-ФЗ для каждой цели обработки определены категории ПДн, категории субъектов, способы и сроки обработки и хранения, а также порядок уничтожения (Приложение 1).

8. Порядок и условия обработки ПДн

МЕТРО обрабатывает ПДн при помощи следующих действий: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, (трансграничная) передача, обезличивание, шифрование, блокирование, удаление.

Способы и сроки обработки и хранения, а также порядок уничтожения для каждой цели обработки указаны в Приложении 1.

При сборе ПДн, в том числе с использованием информационно-телекоммуникационной сети Интернет, МЕТРО обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

Передача ПДн третьим лицам может осуществляться для достижения целей обработки с письменного согласия субъектов ПДн или на ином законном основании, предусмотренном ст.6 152-ФЗ. Третьи лица, которым могут передаваться и/или от которых могут получаться ПДн: входящие в перечень, опубликованный по ссылке: https://www.metro-cc.ru/privacy и/или относящиеся к следующим категориям операторов: аффилированные компании (компании МЕТРО Групп), банки, страховые компании, сотовые операторы, IT-компании, колл-центры, рекламные агентства, архивные организации, производители, дистрибьюторы, поставщики и продавцы товаров, логистические компании, исследовательские центры, консалтинговые фирмы, аудиторы, а также иные контрагенты МЕТРО.

Трансграничная передача ПДн на территории иностранных государств осуществляется в порядке, предусмотренном законодательством Российской Федерации. До передачи ПДн оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается адекватная защита прав субъектов ПДн. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться при наличии согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн либо для исполнения договора, стороной которого является субъект ПДн.

МЕТРО может использовать cookie-файлы на иных сайтах в соответствии с опубликованными на них условиями.

9. Сведения о реализуемых требованиях к защите ПДн

Обеспечение безопасности ПДн достигается применением ряда правовых, организационных и технических мер, определенных с учетом актуальных угроз безопасности и информационных технологий, используемых в информационных системах.

В ООО «МЕТРО Кэш энд Керри» реализуются следующие меры:

• назначен ответственный за организацию обработки ПД
• издана настоящая Политика в отношении обработки ПД, включающая сведения о реализуемых требованиях к защите ПДн, к которой предоставлен неограниченный доступ (размещена на сайте Оператора);
• издан локальный акт (внутренний распорядительный документ Оператора) по вопросам обработки ПД, определяющий для каждой цели категории и перечень ПД, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения, перечень лиц, имеющих доступ к ПД для выполнения ими должностных обязанностей, а также устанавливающий процедуры, направленные на предотвращение, выявление и устранение последствий нарушений
• ограничен круг лиц, допущенных к обработке ПД, организовано ознакомление работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и обучение указанных работников;
• осуществляется внутренний контроль/ аудит соответствия обработки ПДн нормативным правовым актам, требованиям к защите, политике оператора в отношении обработки, локальным актам оператора, а также контроль за принимаемыми мерами
• проводится оценка потенциального вреда субъектам ПДн, соотношения вреда и принимаемых оператором мер
• разработана система защиты ПДн с учетом угроз безопасности ПДн и требуемых уровней защищенности;
• применяются эффективные средства защиты информации, в том числе антивирусных программы;
• обеспечена физическая безопасность ИСПДн (информационной системы, содержащей ПДн): установлена система авторизации доступа, действует пропускной режим, исключено неконтролируемое проникновение или пребывание в помещениях посторонних лиц
• обеспечивается сохранность носителей ПДн.

МЕТРО не несет ответственности за безопасность ПДн, предоставленных сервисам сайтов третьих лиц, информацию о которых МЕТРО может предоставлять.

10. Рассмотрение обращений и запросов субъектов ПДн

В целях обеспечения конфиденциальности ПДн и защиты прав субъектов ПДн обращения и запросы, предполагающие ответ/ ответные действия Оператора с ПДн, принимаются к рассмотрению только при возможности идентифицировать подписавшего как субъекта ПДн (а) на бумажном носителе с личной подписъю субъекта ПДн; б) [если такая возможность технически реализована на ресурсах Оператора] подписанные электронной подписью) и должны быть направлены Оператору курьером/ почтой по адресу: 125445, г. Москва, Ленинградское ш., 71Г. Иные обращения и запросы могут быть направлены по адресу data.protection@metro-cc.ru.

10.1 Запрос информации, касающейся обработки ПДн

В соответствии с ч.7 ст.14 152-ФЗ субъект ПДн вправе получить от оператора ПДн следующую информацию об обработке его ПДн:

1. 1) подтверждение факта обработки ПДн оператором;
2. 2) правовые основания и цели обработки ПДн;
3. 3) цели и применяемые оператором способы обработки ПДн;
4. 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
5. 5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. 6) сроки обработки ПДн, в том числе сроки их хранения;
7. 7) порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
8. 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
10. 9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 152-ФЗ;
11. 10) иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя, а также обратный адрес для направления ответа.

Как указано выше (п.10), запрос должен быть направлен курьером/ почтой по адресу: 125445, г. Москва, Ленинградское ш., 71Г. Ответ будет направлен по адресу, указанному в запросе.

Информация об обработке ПДн (ч.7 ст.14 152-ФЗ) направляется субъекту ПДн оператором в течение десяти рабочих дней с момента получения запроса оператором. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Повторный запрос информации об обработке ПДн (ч.7 ст.14 152-ФЗ) может быть направлен не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн. Досрочный повторный запрос должен содержать обоснование.

Запросы, не соответствующие вышеуказанным требованиям по форме и содержанию, оператор вправе оставить без рассмотрения (ч.6 ст.14 152-ФЗ).

11. Актуализация, исправление, отзыв согласия, прекращение обработки, удаление и уничтожение ПДн

Согласно ч.3 ст.20 152-ФЗ в случае получения сведений, подтверждающих, что:

• ПДн являются неполными, неточными или неактуальными, Оператор обязан внести необходимые изменения в течение 7 (семи) рабочих дней со для получения таких сведений;
• ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн в течение 7 (семи) рабочих дней со для получения таких сведений.

Оператор обязан уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

Согласно ч.1,3 ст.21 152-ФЗ в случае выявления неправомерной обработки ПДн при обращении/ по запросу субъекта ПДн/ уполномоченного органа оператор обязан осуществить/ обеспечить блокирование неправомерно обрабатываемых ПДн на период проверки, а затем в течение трех рабочих дней прекратить неправомерную обработку или обеспечить ее прекращение. В случае, если обеспечить правомерность обработки ПДн невозможно, оператор в течение десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн оператор обязан уведомить субъекта ПДн и, если применимо, уполномоченный орган.

Согласно ч.1 ст.21 152-ФЗ в случае выявления неточных ПДн при обращении / по запросу субъекта ПДн/ уполномоченного органа оператор обязан осуществить/ обеспечить блокирование неправомерно обрабатываемых ПДн на период проверки, если блокирование не нарушает права и законные интересы субъекта ПДн или третьих лиц. В случае подтверждения неточности ПДн оператор на основании сведений, представленных субъектом ПДн/ уполномоченным органом или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн (ч.2 ст.21 152-ФЗ).

В случае достижения цели обработки (ч.4 ст.21 152-ФЗ) ПДн оператор обязан прекратить обработку ПДн/ обеспечить ее прекращение и уничтожить ПДн / обеспечить их уничтожение в течение тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на ином законном основании.

Согласно ч.5 ст.21 152-ФЗ в случае отзыва субъектом ПДн согласия на обработку ПДн оператор обязан прекратить обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на ином законном основании.

Согласно ч.5.1 ст.21 152-ФЗ в случае обращения субъекта ПДн к оператору с требованием о прекращении обработки ПДн оператор обязан в течение десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Согласно ч.6 ст.21 152-ФЗ в случае отсутствия возможности уничтожения ПДн в установленный срок оператор осуществляет блокирование таких ПДн/ обеспечивает их блокирование и обеспечивает уничтожение ПДн в течение шести месяцев, если иной срок не установлен федеральными законами.

Приложение 1 к Политике ООО «МЕТРО Кэш энд Керри» в отношении ПДн (контрагенты)