Настоящая выписка из Положения об обработке персональных данных, утвержденного Генеральным директором Общества с ограниченной ответственностью «Уолт Дисней Компани СНГ» [24 марта 2014 года] (далее — «Положение»), подготовлена для целей публикации на официальном сайте Общества адресу www.disney.ru в разделе «Защита данных» и информирует пользователей указанного сайта о порядке сбора, обработки, хранения, использования и раскрытия их персональных данных Обществом.

В установленном законодательством Российской Федерации порядке с 08 декабря 2011 года Общество внесено в реестр операторов персональных данных под регистрационным номером № 11-0228344. Порядок обработки и защиты персональных данных, определенный Положением, будет применяться ко всем случаям, когда сбор, обработку, хранение, использование и раскрытие персональных данных осуществляет непосредственно Общество.

В случаях, когда сбор, обработка, хранение, использование и раскрытие персональных данных осуществляется The Walt Disney Company, обработка и защита таких данных будет производиться на основании Глобальной политики конфиденциальности компании The Walt Disney Company Inc (Global Privacy Policy), ссылка на которую также размещена официальном сайте Общества адресу www.disney.ru в разделе «Защита данных».

Выписка из положения об обработке персональных данных
в Обществе с ограниченной ответственностью «Уолт Дисней Компани СНГ»

1. Общие положения

1.1.Настоящее положение об обработке персональных данных (далее — «Положение») регулирует порядок сбора, обработки, хранения, использования и раскрытия персональных данных в Обществе с ограниченной ответственностью «Уолт Дисней Компани СНГ» (далее — «Общество»).

1.2.Настоящее Положение разработано на основе и во исполнение Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», иных федеральных законов и нормативно-правовых актов, регулирующих порядок обработки персональных данных и защиты прав субъектов персональных данных (далее совместно — «Применимое законодательство»).

1.3.Целью Положения является определение порядка обработки и защиты персональных данных, получаемых Обществом, обеспечение прав и свобод субъектов персональных данных при обработке их персональных данных Обществом, а также установление ответственности должностных лиц за невыполнение требований к обработке и защите персональных данных, утвержденных Положением и Применимым законодательством.

1.4.Для целей настоящего Положения используемые с заглавной буквы термины имеют следующее значение:

1.4.1."Персональные данные" означает информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), состав которой определен в настоящем Положении в отношении каждой категории субъектов персональных данных отдельно.

1.4.2."Субъект персональных данных« означает любое физическое лицо, чьи персональные данные собираются и обрабатываются Обществом в порядке, предусмотренном настоящим Положением и Применимым законодательством. Термин «Субъект персональных данных» может употребляться в Положении во множественном числе («Субъекты персональных данных»), означая всех таких субъектов совместно.

1.4.4."Кандидат« означает любое физическое лицо, с которым Общество осуществляет взаимодействие по вопросам трудоустройства в Обществе без привлечения третьих лиц, и которое желает трудоустройства в Обществе, вне зависимости от того, заключается ли Обществом с таким физическим лицом трудовой договор или нет. Термин «Кандидат» может употребляться в Положении во множественном числе («Кандидаты»), означая всех кандидатов Общества совместно.

1.4.5."Иной субъект персональных данных« означает физическое лицо, состоящее или не состоящее в договорных отношениях с Обществом, чьи персональные данные собираются и обрабатываются Обществом в порядке, предусмотренном настоящим Положением и Применимым законодательством. Термин «Иной субъект персональных данных» может употребляться в Положении во множественном числе («Иные субъекты персональных данных»), означая всех таких субъектов совместно.

1.5.Для целей настоящего Положения используемые с заглавной буквы термины имеют следующее значение:

1.5.1.Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Общества и действует бессрочно до замены его новым положением о персональных данных.

1.5.2.Настоящее Положение заменяет действующую в Обществе Политику о конфиденциальности и защите персональных данных, утвержденную приказом Генерального директора от 28 июля 2007 года.

1.5.3.Все изменения и дополнения в Положение вносятся приказом Генерального директора Общества.

1.5.4.Кандидаты должны быть ознакомлены с Положением при подписании ими согласия на обработку персональных данных Кандидатов на период принятия Обществом решения о приеме либо отказе в приеме на работу (в порядке, предусмотренном пунктом 5.3 ниже).

1.5.5.Иным субъектам персональных данных Обществом обеспечен доступ к Положению и к сведениям о реализуемых требованиях к защите персональных данных по месту расположения Общества — Российская Федерация, г. Москва, Новинский бульвар, д. 8.

1.5.6.Выдержка из Положения, касающаяся сбора и обработки персональных данных с использованием информационно-телекоммуникационных сетей (сети Интернет), опубликована на сайте Общества по адресу www.disney.ru в разделе «Защита данных». В случае внесения изменений или дополнений в Положение, касающихся сбора и обработки данных через сеть Интернет, соответствующие изменения и дополнения должны быть опубликованы на сайте Общества в том же разделе.

1.5.7.Контроль за соблюдением настоящего Положения осуществляют ответственные за организацию обработки персональных данных в Обществе, назначенные приказом Генерального директора Общества от 11 марта 2014 года (далее — «Ответственные за организацию обработки»).

2. Персональные данные, обрабатываемые Обществом

2.1.Общество собирает и обрабатывает Персональные данные следующих Субъектов персональных данных:

2.1.1.Кандидатов, а также лиц, которые дают рекомендации о профессиональных качествах Кандидатов, об их опыте работы и соответствующих навыках (как это указано в пункте 5.6 ниже);

2.1.2.Иных субъектов персональных данных.

2.2.Общество также может получать от третьих лиц, на основании соответствующих договорных обязательств, и обрабатывать персональные данные иных физических лиц (далее — «Данные, полученные от третьих лиц»). Общество не является оператором Данных, полученных от третьих лиц, и обрабатывает такие данные по поручению оператора в порядке, предусмотренном Применимым законодательством. Общество обязуется сохранять конфиденциальность и безопасность Данных, полученных от третьих лиц, а также обеспечивать обработку таких данных в порядке, предусмотренном соответствующими договорами с операторами таких персональных данных. Настоящим Положением не регулируется порядок обработки Данных, полученных от третьих лиц.

3. Принципы и условия обработки Персональных данных Обществом

3.1.Общество обрабатывает Персональные данные Субъектов персональных данных в порядке, предусмотренном Применимым законодательством, на законной и справедливой основе.

3.2.Общество обрабатывает Персональные данные Субъектов персональных данных с использованием средств автоматизации или без использования таких средств (смешанный тип обработки), и совершает с Персональными данными Субъектов персональных данных различные действия, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение таких Персональных данных.

3.3.Обработка Персональных данных осуществляется Обществом с согласия Субъектов персональных данных либо на иных основаниях, предусмотренных Применимым законодательством.

3.4.В случаях, когда Персональные данные получаются Обществом не от Субъекта персональных данных, Общество до начала обработки таких данных предоставляет Субъекту персональных данных сведения в объеме, предусмотренном Приложением 5 к Положению. При этом Общество не обязано предоставлять Субъекту персональных данных такие сведения в случае, если у Общества есть разумные основания полагать, что Субъект персональных данных уведомлен об осуществлении обработки его персональных данных Обществом, а также в иных случаях, предусмотренных Применимым законодательством.

3.5.Обработка Персональных данных осуществляется в целях, определенных для каждой категории Субъектов персональных данных в настоящем Положении, и ограничивается достижением таких конкретных, заранее определенных и законных целей. Обществом не допускается обработка Персональных данных Субъектов персональных данных, несовместимая с целями сбора таких Персональных данных.

5. Персональные данные Кандидатов, обрабатываемые Обществом

5.1Общество осуществляет сбор и обработку следующих категорий Персональных данных Кандидата:

5.1.1.фамилия, имя и отчество Кандидата;

5.1.2.телефон (мобильный и стационарный), адрес(а) электронной почты;

5.1.3.профессия;

5.1.4.образование и специальность;

5.1.5.знание иностранных языков;

5.1.6.информация о трудовых отношениях Кандидата с настоящими и предыдущими работодателями, о занимаемых им должностях/позициях, об образовании Кандидата, о пройденных Кандидатом курсах переподготовки и дополнительного образования; сведения о дисциплинарных взысканиях, переводах на другую должность/работу, трудовом графике Кандидата;

5.1.7.информация о заработной плате Кандидата, выплаченных ему суммах вознаграждений и премий, о пройденных Кандидатом аттестациях и иных процедурах оценки эффективности труда, о полученных Кандидатом наградах;

5.1.8.информация, связанная с наличием или отсутствием любых конфликтов интересов (в том числе, любых финансовых конфликтов интересов) в случае трудоустройства Кандидата в Общество.

5.2Кандидат предоставляет Обществу свои Персональные данные в виде резюме, анкеты или иного документа с помощью формы, размещенной на официальном сайте Общества в сети Интернет, а также направляет такие Персональные данные иными способами с помощью информационно-телекоммуникационных сетей, включая электронную почту. Ни при каких обстоятельствах Кандидат не должен предоставлять или направлять Обществу свои Персональные данные, если Кандидат возражает против обработки таких Персональных данных в порядке, на условиях и в сроки, указанных в настоящем Положении, выдержка из которого опубликована на сайте, как это указано в 1.5.7 выше.

5.3За исключением случаев, когда Персональные данные Кандидата получаются ввиду размещения Кандидатом или с его согласия его/ее Персональных данных на сайтах в сети Интернет, доступных неограниченному кругу лиц (например, на любых онлайн ресурсах для поиска работы и найма персонала), для целей рассмотрения Кандидата на замещение вакантных должностей в Обществе, Кандидат должен подписать согласие на обработку своих Персональных данных Обществом по форме, согласно Приложению 3 к Положению, либо согласиться с порядком, условиями и сроками обработки своих Персональных данных Обществом путем проставления соответствующей отметки в электронной форме согласия. По требованию Кандидата Общество предоставит Кандидату возможность ознакомиться с документами Общества, устанавливающими порядок обработки Персональных данных.

5.4Персональные данные Кандидатов получаются Обществом непосредственно от них самих, за исключением случаев, когда их получение возможно только от третьих лиц или из общедоступных источников. Персональные данные Кандидата получаются Обществом от третьих лиц исключительно с согласия Кандидата.

5.5Персональные данные Кандидатов обрабатываются Обществом для целей содействия в трудоустройстве в Общество Кандидатов и принятия решения о приеме либо отказе в приеме на работу каждого Кандидата в Общество. С согласия Кандидата его/ее Персональные данные могут обрабатываться Обществом для целей ведения всех кадровых и трудовых программ; для кадрового управления и управления кадровым потенциалом; для обмена информацией и подготовки отчетности в рамках группы лиц, к которой принадлежит Общество.

6. Персональные данные Иных субъектов персональных данных, обрабатываемые Обществом

6.1.Общество осуществляет сбор и обработку следующих категорий Персональных данных Иных субъектов персональных данных:

6.1.1.фамилия, имя и отчество;

6.1.2.дата, месяц и год рождения;

6.1.3.адрес регистрации, адрес места проживания;

6.1.4.реквизиты документа, удостоверяющего личность (паспортные данные);

6.1.5.образование и специальность;

6.1.6.знание иностранных языков;

6.1.7.фотография.

6.2.Иной субъект (или его законный представитель) предоставляет Обществу Персональные данные с помощью формы, размещенной на официальном сайте Общества в сети Интернет, либо иными способами с помощью информационно-телекоммуникационных сетей, включая электронную почту, социальные сети и иные способы связи. Ни при каких обстоятельствах Иной субъект (или его законный представитель) не должны предоставлять Обществу Персональные данные, если Иной субъект (или его законный представитель) возражает против обработки Персональных данных в порядке, на условиях и в сроки, указанных в настоящем Положении, выдержка из которого опубликована на сайте, как это указано в 1.5.7 выше.

6.3.Персональные данные Иных субъектов персональных данных обрабатываются Обществом для целей исполнения договоров, стороной по которым, выгодоприобретателем или поручителем является Иной субъект персональных данных, для целей проведения Обществом маркетинговых, рекламных мероприятий и конкурсов творческих работ, а также для организации посещения такими лицами помещений Общества.

6.4.В случаях, когда это требуется согласно Применимому законодательству, каждый Иной субъект персональных данных подписывает согласие на обработку своих Персональных данных Обществом по форме, согласно Приложению 4 к Положению, либо соглашается с порядком, условиями и сроками обработки Персональных данных Обществом путем проставления соответствующей отметки в электронной форме согласия. В случае недееспособности Иного субъекта персональных данных (например, по причине недостижения совершеннолетия) согласие на обработку его/ее Персональных данных Обществом дает его/ее законный представитель (например, родитель или попечитель). По требованию Иного субъекта персональных данных и/или его представителя Общество предоставляет возможность ознакомиться с документами Общества, устанавливающими порядок обработки Персональных данных.

6.5.С согласия Иных субъектов персональных данных, Общество имеет право использовать Персональные данные Иных субъектов персональных данных в целях продвижения своих товаров и услуг на рынке путем направления информационных, маркетинговых и рекламных материалов Иным субъектам персональных данных с помощью средств связи. Иной субъект персональных данных имеет право в любое время потребовать прекращения такого использования своих Персональных данных Обществом путем направления соответствующего письменного требования Ответственным за организацию обработки.

7. Доступ к Персональным данным в Обществе

7.1.Общество обеспечивает работу с Персональными данными таким способом, чтобы не происходило объединение баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

7.2.Доступ к Персональным данным Субъектов персональных данных в рамках исполнения своей трудовой функции и исключительно для целей, связанных с исполнением своей трудовой функции, имеют следующие лица:

7.2.1.Генеральный директор Общества;

7.2.2.Ответственные за организацию обработки;

7.2.3.Директор по работе с персоналом (HR) и работники Отдела по работе с персоналам;

7.2.4.работники Департамента финансов Общества;

7.2.5.работники Юридического отдела Общества;

7.2.6.Директор по безопасности Общества

7.2.7.лица, осуществляющие техническую поддержку программного обеспечения и баз данных, содержащих Персональные данные Субъектов персональных данных (далее совместно — «Уполномоченные лица»).

7.3.Уполномоченные лица ознакомлены с положениями Применимого законодательства, в том числе с требованиями о защите персональных данных, с документами, определяющими политику Общества в отношении обработки персональных данных, и прошли соответствующий инструктаж.

8. Передача Персональных данных Субъектов персональных данных третьим лицам

8.1.С согласия Субъектов персональных данных, Общество имеет право передавать (предоставлять, давать доступ к) Персональные данные Субъектов персональных данных третьим лицам, при этом Общество обязано обеспечить, чтобы такие третьи лица обеспечивали безопасность таких данных в соответствии с требованиями Применимого законодательства. С согласия Субъектов персональных данных, Общество вправе предоставлять Персональные данные Субъектов персональных данных третьим лицам, перечисленным в Приложении 1 к Положению.

8.2.Общество обязано предупредить любых третьих лиц, получающих доступ к Персональным данным Субъектов персональных данных, о том, что такие Персональные данные могут быть использованы лишь в целях, для которых они сообщены, и только при условии соблюдения конфиденциальности таких Персональных данных.

8.3.Общество вправе поручить обработку Персональных данных Субъектов персональных данных третьему лицу.

8.4.С согласия Субъектов персональных данных, Общество вправе осуществлять трансграничную передачу Персональных данных Субъектов персональных данных, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

9. Права Субъектов персональных данных

9.1.Субъект персональных данных имеет право:

9.1.1.получить доступ к своим Персональным данным и ознакомиться с ними, а также безвозмездно получить копию любой записи, содержащей его Персональные данные;

9.1.2.получать от Общества информацию в отношении своих Персональных данных, в том числе о подтверждении факта обработки Персональных данных Обществом; сведения о лицах, которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Обществом или на основании Применимого законодательства; о правовых основаниях и целях обработки Персональных данных; о целях и применяемых Обществом способах обработки; об источнике получения своих Персональных данных (если порядок представления таких данных не предусмотрен Применимым законодательством); о сроках обработки Персональных данных, в том числе о сроках их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче Персональных данных; а также иные сведения, предусмотренные Применимым законодательством;

9.1.3.требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные Персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

9.1.4.принимать предусмотренные Применимым законодательством меры по защите своих прав;

9.1.5.осуществлять иные права, предусмотренные Применимым законодательством.

9.2.Для получения информации, указанной в пункте 9.1 выше, Субъект персональных данных может направить в Общество (Ответственным за организацию обработки) запрос в письменной форме. Общество обязано предоставить Субъекту информацию об обработке его/ее Персональных данных в течение 30 (тридцати) дней с даты получения такого запроса. Ответственные за организацию обработки ведут учет запросов Субъектов персональных данных в соответствии с требованиями Применимого законодательства.

10. Меры по обеспечению защиты и безопасности Персональных данных Субъектов персональных данных при их обработке Обществом

10.1.При обработке Персональных данных Субъектов персональных данных Обществом обеспечивается точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Общество должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных Персональных данных Субъектов персональных данных.

10.2.При Обработке Персональных данных Субъектов персональных данных Общество принимает необходимые правовые, организационные и технические меры для защиты Персональных данных Субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных Субъектов персональных данных, а также от иных неправомерных действий в отношении таких Персональных данных.

10.3.В дополнение к настоящему Положению Обществом могут быть разработаны и введены в действие иные локально-нормативные акты, регламентирующие отдельные вопросы обработки Персональных данных Субъектов персональных данных, а также технические требования к информационным системам, в которых обрабатываются Персональные данные Субъектов персональных данных.

11. Срок обработки Персональных данных и порядок отзыва согласия на обработку

11.1.Персональные данные Субъектов персональных данных обрабатываются Обществом в сроки, предусмотренные Применимым законодательством и необходимые для достижения целей обработки таких Персональных данных.

11.2.Согласие Субъекта персональных данных на обработку Персональных данных Обществом может быть отозвано им путем направления уведомления в свободной форме в письменном виде на имя Ответственных за обработку по месту расположения Общества — Российская Федерация, г. Москва, Новинский бульвар, д. 8.

12. Блокирование и уничтожение Персональных данных Субъектов персональных данных

12.1.В случае выявления неправомерной обработки Персональных данных Субъекта персональных данных (при получении обращения Субъекта персональных данных или его представителя, либо запроса уполномоченного органа), а равно при выявлении неточных Персональных данных, Общество блокирует такие неправомерно обрабатываемые Персональные данные или обеспечивает их блокирование с момента получения указанного обращения или запроса на весь период проверки.

12.2.В случае подтверждения факта неточности Персональных данных Общество на основании сведений, представленных Субъектом персональных данных, его представителем или уполномоченным органом, либо иных документов в порядке, предусмотренном Применимым законодательством, обязано уточнить такие Персональные данные или обеспечить их уточнение в течении 7 (семи) рабочих дней со дня предоставления таких сведений и снять блокирование, указанное в пункте 12.1 выше.

12.3.В случае подтверждения факта неправомерной обработки Персональных данных Общество обязано прекратить неправомерную обработку в срок, не превышающий 3 (трех) рабочих дней с даты выявления факта неправомерной обработки, либо уничтожить такие Персональные данные в срок, не превышающий 10 (десяти) рабочих дней с даты выявления факта неправомерной обработки. Об устранении допущенных нарушений Общество обязано уведомить Субъекта персональных данных, либо его представителя, либо уполномоченный орган, если проверка правомерности обработки проводилась по запросу такого органа.

12.4.Персональные данные Субъектов персональных данных подлежат уничтожению либо обезличиванию по достижении целей обработки, либо в случае утраты необходимости в достижении этих целей, либо в иных случаях, предусмотренных Применимым законодательством.

12.5.В случае достижения цели обработки Персональных данных Общество прекращает обработку Персональных данных и уничтожает Персональные данные в порядке, предусмотренном пунктом 12 настоящего Положения, в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки, если иной срок не предусмотрен либо в согласии, данном Субъектом персональных данных, либо в договоре, стороной которого является Субъект персональных данных, либо если согласно Применимому законодательству Общество не имеет права осуществлять дальнейшую обработку Персональных данных без согласия Субъекта персональных данных.

12.6.При получении отзыва согласия в порядке, предусмотренном пунктом 11.3 настоящего Положения, обработка Персональных данных Субъекта персональных данных немедленно прекращается Обществом за исключением случаев, когда необходимость продолжения обработки таких Персональных данных обусловлена требованиями Применимого законодательства. В случае, если сохранение Персональных данных более не требуется для достижения целей обработки, Общество обязано уничтожить Персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иной срок не предусмотрен либо в согласии, данном Субъектом персональных данных, либо в договоре, стороной которого является Субъект персональных данных, либо если согласно Применимому законодательству Общество не имеет права осуществлять дальнейшую обработку Персональных данных без согласия Субъекта персональных данных.

12.7.В случае если невозможно уничтожить Персональные данные Субъектов персональных данных в течение сроков, указанных в пунктах 12.3, 12.5 и 12.6 выше, Общество блокирует такие Персональные данные и обеспечивает их уничтожение в срок, не превышающий 6 (шести) месяцев, если иное не требуется согласно Применимому законодательству.

13. Ответственность за нарушение правил, регулирующих обработку Персональных данных

13.1.Лица, виновные в нарушении положений настоящего Положения, а также предусмотренных Применимым законодательством правил обработки персональных данных, несут дисциплинарную, административную, гражданскую или уголовную ответственность.