1 ПОЛИТИКА ООО «ЮНИЛЕВЕР РУСЬ» о персональных данных потребителей продукции Unilever и участников стимулирующих акций Unilever

  1. Общие положения и термины
  • 1.1. Настоящая Политика является дополнением к Политике о персональных данных Компании Unilever, расположенной здесь: http://www.unileverprivacypolicy.com/russian/policy.aspx («Политика Unilever»). Условия настоящей Политики направлены на конкретизацию положений общей Политики Unilever для целей соблюдения положений и особенностей законодательства Российской Федерации. Совместно они составляют единую Политику о персональных данных («Политика»). Политика о персональных данных является официальной Политикой ООО «Юнилевер Русь», как участника группы компаний Unilever.
  • 1.2. Политика определяет общие принципы и порядок обработки персональных данных потребителей продукции Unilever и участников стимулирующих акций Unilever, а также меры по обеспечению их безопасности со стороны ООО «Юнилевер Русь» (далее – «Оператор»). Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства в области персональных данных.
  • 1.3. Политика в отношении обработки персональных данных разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами Российской Федерации, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
  • 1.4. В настоящей Политике используются термины, предусмотренные действующим законодательством, а также следующие определения: продукция Unilever – продукция, производство и/или реализацию которой осуществляет ООО «Юнилевер Русь»; стимулирующие акции Unilever – мероприятия для потребителей, направленные на стимулирование продаж продукции Unilever, организацию и проведение которых осуществляет ООО «Юнилевер Русь» или иные лица по его поручению; дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также подключению к сети интернет; информационная система персональных данных – совокупность персональных данных, содержащихся в базах данных, а также обеспечивающих их обработку информационных технологий и технических средств; обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также 2 определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО «Юнилевер Русь»; оператор CRM-системы – лицо, осуществляющее обработку персональных данных по поручению оператора, в частности, компания Brandtone (Division) Limited, осуществляющая деятельность по эксплуатации CRM-системы, в том числе по обработке персональных данных для указанных ниже целей; серверная часть CRM-системы размещается в дата-центре, не являющимся собственностью Brandtone (Division) Limited; персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных); участник акций – субъект персональных данных, участвующий в стимулирующих мероприятиях («акциях»), проводимых Оператором или в интересах Оператора, чьи данные хранятся и обрабатываются в CRM-системе; CRM-система – совокупность программных средств на базе программного обеспечения DirectCRM, предназначенная для размещения и обработки данных Оператора на основании договора с оператором CRM-системы; Интернет-сайты Оператора – Интернет-сайты и страницы, принадлежащие Оператору, и/или администрирование которых осуществляет Оператор или иные лица по поручению и для Оператора.
  • 1.5. Действие Политики распространяется на все предусмотренные настоящей Политикой персональные данные Cубъектов персональных данных (в соответствии с определением ниже), обрабатываемые Оператором с применением средств автоматизации и без применения таких средств, а также персональные данные, обработку которых Оператор поручает иному лицу, в том числе – оператору CRM-системы.
  • 1.6. Оператор оформляет настоящую Политику как официальную Политику ООО «Юнилевер Русь» и публикует Политику на своих официальных сайтах и сайтах соответствующих брендов путем размещения Политики или ссылки на нее, а также предоставляет неограниченный доступ к ней любому лицу, лично обратившемуся к Оператору.
  1. . Статус Оператора и категории субъектов, чьи персональные данные обрабатываются Оператором 2.1. Оператор является оператором персональных данных: А) участников различных стимулирующих мероприятий (акций), проводимых Оператором или в интересах Оператора, для целей продвижения продукции, производство и/или реализацию которой осуществляет Оператор, чьи данные хранятся и обрабатываются в CRM-системе; Б) посетителей Интернет-сайтов Оператора, которые предоставляют Оператору свои персональные данные для целей получения информации на сайтах, участия в рекламных акциях Оператора и осуществления иных активностей на Интернет-сайтах. (далее – «Субъекты персональных данных») Перечень и виды персональных данных предусмотрены в Политике Unilever в разделе «КАКУЮ ИНФОРМАЦИЮ МЫ СОБИРАЕМ». Обработку персональных данных указанных выше субъектов (участников стимулирующих акций и посетителей Интернет-сайтов) выполняет третье лицо по поручению Оператора, в частности, Brandtone (Division) Limited. 3 3. Принципы обработки персональных данных Обработка персональных данных Оператором и по его поручению осуществляется в соответствии со следующими принципами: 3.1. Законность и справедливая основа обработки персональных данных. Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законами Российской Федерации, не использует персональные данные во вред субъектам. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей. Целью обработки персональных данных Оператором является привлечение субъектов к участию в акциях и маркетинговых исследованиях, проводимых Оператором или в интересах Оператора, информирование о продукции Оператора и проводимых им акциях, организация доставки призов (в случае их выигрыша), публикация списков победителей акций и лиц, выигравших призы. Детальное описание целей использования персональных данных предусмотрено в Политике Unilever по ссылке: http://www.unileverprivacypolicy.com/russian/policy.aspx в разделе «КАК МЫ ИСПОЛЬЗУЕМ ВАШИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ». 3.2. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Оператор заявляет, что не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п.3.1 настоящей Политики, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше. 3.3. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Оператор принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои персональные данные и требовать от Оператора их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки. 3.4. Хранение персональных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных. 3.5. Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений установленного законом порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено федеральными законами или договорами с субъектами. 4. Условия обработки персональных данных 4.1. Обработка предусмотренных Политикой персональных данных Оператором допускается в следующих случаях: 4.1.1. При наличии согласия субъекта персональных данных на обработку его персональных данных. 4.1.2. Для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей. 4 4.1.3. Для исполнения договора, стороной которого или выгодоприобретателем по которому является субъект персональных данных. Такими договорами являются, например, публичные оферты (в том числе оферты в устной форме), акцептованные участниками акций. 4.1.4. Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных. 4.1.5. Доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных либо по его просьбе. 4.1.6. Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральными законами. 4.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами. 4.3. Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, если для этого не соблюдены условия, предусмотренные действующим законодательством. 5. Способы обработки персональных данных 5.1. Оператор осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств. 5.2. Настоящая Политика распространяется в том числе на обработку персональных данных без использования средств автоматизации, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным; 5.3. Настоящая Политика предусматривает обработку персональных данных любыми способами, предусмотренными законодательством, в том числе путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных. 5.4. В соответствии с настоящей Политикой Оператор может осуществлять обработку персональных данных указанными выше способами самостоятельно, а также с привлечением третьих лиц, в частности, оператора CRM-системы, осуществляющего обработку персональных данных указанных выше субъектов по поручению Оператора, иных компаний группы Unilever и иных третьих лиц, которые привлекаются Оператором и осуществляют обработку для выполнения указанных в настоящей Политике целей. 5.5. Настоящая Политика предусматривает возможность трансграничной передачи персональных данных (передачи персональных данных на территорию иностранного государства) третьим лицам для выполнения указанных в настоящей Политике целей, в том числе в случаях, когда дата-центры расположены на территории иностранного государства. 5.6. В соответствии с требованиями действующего законодательства при сборе персональных данных оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. 5 6. Конфиденциальность персональных данных 6.1. Оператор обеспечивает конфиденциальность обрабатываемых им персональных данных в порядке, предусмотренном федеральными законами. 6.2. В случае поручения обработки персональных данных другому лицу объем передаваемых другому лицу для обработки персональных данных и количество используемых этим лицом способов обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Оператором. В отношении обработки персональных данных третьим лицом должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных. 6.3. Оператор вправе разместить свои информационные системы персональных данных на хостинге или в дата-центре иных лиц. Если договором с оператором информационной системы, обеспечивающим услуги хостинга и/или дата-центром доступ персонала оператора информационной системы (дата-центра) к информационной системе персональных данных не допускается, данное размещение не рассматривается как поручение оператору информационной системы (дата-центру) обработки персональных данных и не требует согласия субъектов персональных данных. 6.4. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором. 7. Согласие субъекта персональных данных на обработку своих персональных данных 7.1. Субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных является конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами. 7.2. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором. 7.3. Субъекты персональных данных дают согласие на обработку своих персональных данных, акцептуя оферту (в том числе предлагаемую в устной форме) о предоставлении им информации, услуг и возможности участия в акциях, проводимых Оператором и/или в его интересах, а также посещая сайты Оператора. Акцептом оферты является предоставление Участниками акций персональных данных, запрашиваемых Оператором, в специально разработанных для этого анкетах Участников акций или в веб-формах на интернет-сайтах Оператора и/или его контрагентов, организующих и проводящих акции в интересах Оператора. Более подробно о согласии на обработку персональных данных - в разделе «ВАШЕ СОГЛАСИЕ» на сайте: http://www.unileverprivacypolicy.com/russian/policy.aspx 7.4. Согласие субъектов на предоставление их персональных данных не требуется при получении Оператором, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности и иных органов, уполномоченных запрашивать информацию в соответствии с федеральными законами. 7.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. 6 8. Права субъектов персональных данных 8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект персональных данных также имеет право отозвать свое согласие на обработку персональных данных. 8.2. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований федеральных законов или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 8.3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 8.4. Субъект персональных данных имеет право обратиться к Оператору с запросами, предусмотренными п. 1 выше, перечисленными ниже способами, в том числе путем: 8.4.1. направления сообщения Оператору на Интернет сайте: https://www.unilever.ru/contact/contact-form/ 8.4.2. обращения к Оператору по телефону горячей линии 8 800 200 1 200 8.4.3. направления сообщения Оператору ООО «Юнилевер Русь» по адресу: Россия, 123022, г. Москва, ул. Сергея Макеева, д. 13. 9. Сведения о реализуемых требованиях к защите персональных данных 9.1. Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных. Конкретные меры, применяемые Оператором, закреплены во внутренних документах Оператора и могут быть предоставлены по запросу. 9.2. Правовые меры включают в себя:  разработку локальных актов Оператора, реализующих требования российского законодательства, а именно настоящей Политики и сопутствующих документов в отношении обработки персональных данных, и размещение их на интернет-сайтах Оператора;  отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенных Оператором. 9.3. Организационные меры включают себя:  назначение лица, ответственного за организацию обработки персональных данных;  ограничение состава работников Оператора и иных лиц, привлекаемых Оператором к обработке персональных данных, и организацию разрешительной системы доступа к ним;  ознакомление работников Оператора или иных уполномоченных на обработку лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами Оператора по вопросам обработки персональных данных, обучение указанных работников; 7  регламентацию процессов обработки персональных данных;  организацию Оператором и лицами, осуществляющими обработку персональных данных по поручению Оператора, учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;  определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз; формирование модели угроз, нейтрализацию которых обеспечивают лица, которым поручил обработку Оператор, эти лица осуществляют самостоятельно;  размещение технических средств обработки персональных данных в пределах охраняемой территории;  ограничение допуска посторонних лиц в помещения Оператора, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны Работников Оператора. 9.4. Технические меры включают в себя:  определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности;  определение уровня защищенности персональных данных и реализацию требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;  использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;  оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;  реализацию разрешительной системы доступа к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации;  регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные;  выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора и лица, осуществляющего обработку персональных данных по его поручению, обеспечивающих соответствующую техническую возможность;  безопасное межсетевое взаимодействие (применение межсетевого экранирования);  обнаружение вторжений в информационную систему Оператора и лица, осуществляющего обработку персональных данных по его поручению, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;  восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных), в том числе - лицом, осуществляющим обработку персональных данных по поручению Оператора; 8  периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;  контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации). 10. Заключительные положения 10.1. Иные обязанности и права Оператора персональных данных, а также условия и принципы обработки персональных данных определяются законодательством Российской Федерации в области персональных данных, а также Политикой Unilever (подробнее – в пункте 1 настоящей Политики). 10.2. Положения настоящей Политики могут пересматриваться по мере необходимости с опубликованием соответствующих изменений. Обязательный пересмотр Политики проводится в случае существенных изменений международного или национального законодательства в сфере персональных данных. 10.3. Дополнительная информация относительно обработки персональных данных может быть предоставлена Оператором по запросу. 10.4. Субъекты персональных данных предоставляют свое полное и безоговорочное согласие со всеми положениями и условиями настоящей Политики в соответствии с пунктом 7.3. В случае несогласия субъектов персональных данных с положениями настоящей Политики субъекты не должны предоставлять свои персональные данные Оператору в соответствующих формах. 10.5. В случае наличия вопросов к настоящим положениям субъекты персональных данных могут обратиться к представителям Оператора, в том числе путем: 10.5.1. направления сообщения Оператору на Интернет сайте: https://www.unilever.ru/contact/contact-form/ 10.5.2. обращения к Оператору по телефону горячей линии 8 800 200 1 200 10.5.3. направления сообщения Оператору ООО «Юнилевер Русь» по адресу: Россия, 123022, г. Москва, ул. Сергея Макеева, д. 13.