Политика обработки персональных данных ПАО «ВымпелКом»

1. Общие положения

Политика «Обработка персональных данных» (далее – Политика) является внутренним нормативным документом ПАО «ВымпелКом», определяющим общие положения ПАО «ВымпелКом» в области правомерности обработки и обеспечения безопасности обрабатываемых персональных данных.

Настоящая Политика является публичным документом и разработана в соответствии с требованиями:

Настоящая Политика распространяется на ПАО «ВымпелКом», включая Региональные управления и иные обособленные подразделения Компании.

Настоящая Политика является обязательной для исполнения всеми работниками Компании.

На основании настоящей Политики дочерние и зависимые общества Компании могут разрабатывать и утверждать аналогичный документ в порядке, установленном их учредительными и внутренними документами.

В настоящей Политике используются следующие термины и определения:

Абонент – пользователь услугами связи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации;

2. Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Группа компаний VEON Ltd. (Группа VEON) – VEON Ltd. (“VEON”) и любое юридическое лицо, включая ПАО «ВымпелКом», которым прямо или косвенно владеет VEON (полностью или имеет мажоритарное участие), или находящееся под контролем VEON;

Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных;

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Информация – сведения (сообщения, данные) независимо от формы их представления;

Компания – ПАО «ВымпелКом», включая его региональные управления и иные обособленные структурные подразделения;

Конфиденциальность персональных данных – обязательное для выполнения Оператором или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия ПДн третьим лицам, и их распространение без согласия субъекта ПДн или наличия иного законного основания;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор – ПАО «ВымпелКом», самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Ответственный за организацию обработки и защиты персональных данных в ПАО «ВымпелКом» – должностное лицо Компании, на которого возложены обязанности по соблюдению Оператором требований Федерального закона от 27 июля 2006 года No 152 «О персональных данных», иных нормативных актов в области обработки и защиты персональных данных. В ПАО «ВымпелКом» ответственным за организацию обработки и защиты персональных данных в Компании является Вице-президент по безопасности Компании;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных);

Пользователь – лицо, получающее услуги связи Оператора;

Работники (работники Компании) – штатные работники Компании с полной или частичной занятостью, независимо от их должности в Компании;

Региональное управление (РУ или регион, филиал) – второй уровень системы управления Компании, обособленное подразделение Компании (филиал), имеющее статус «Регионального управления», закрепленный в Положении о таком обособленном подразделении, и осуществляющее функцию управления обособленными подразделениями Компании, входящими в его состав;

Специальная категория персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

Субъекты персональных данных – определенное или определяемое физическое лицо;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

3. Принципы обработки персональных данных

3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

3.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.5. Допускается обработка исключительно тех персональных данных, которые отвечают целям их обработки.

3.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

3.7. Не допускается обработка персональных данных, избыточных по отношению к заявленным целям обработки.

3.8. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Неполные или неточные данные должны быть удалены или уточнены.

3.9. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

3.10. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, по законному требованию субъекта персональных данных или уполномоченных органов судебной и исполнительной власти персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законом.

4. Категории субъектов персональных данных

Субъекты персональных данных подразделяется на следующие категории лиц:

4.1. Абоненты, заключившие договор с Компанией на оказание услуг связи, представители абонентов, пользователи услуг связи, оказываемых Компанией.

4.2. Работники, имеющие договорные отношения с Компанией.

4.3. Родственники работников, имеющих договорные отношения с Компанией.

4.4. Уволенные работники, ранее имевшие договорные отношения с Компанией.

4.5. Соискатели (кандидаты) на вакантные должности, в том числе проходящие

обучение по ученическому договору.

4.6. Работники контрагентов по гражданско-правовым договорам, заключенным с Компанией.

4.7. Работники компаний, входящих в Группу компаний VEON Ltd.

4.8. Пользователи Интернет-сайтов.

4.9. Пользователи мобильных приложений и сервисов.

4.10. Посетители объектов Компании.

4.11. Члены Совета директоров Компании.

4.12. Основатели Компании.

4.13. Физические лица, имеющие намерение воспользоваться услугами (приобрести товары) Оператора или третьих лиц.

4.14. Физические лица, обращающиеся на горячую линию, направляющие заявления и обращения в адрес Оператора.

5. Цели обработки персональных данных

Персональные данные в Компании обрабатываются для следующих целей:

5.1. Взаимодействие в рамках заключенных договоров об оказании услуг связи (абоненты, представители абонентов, пользователи).

5.2. Поиск работников, постановка в кадровый резерв (соискатели; уволенные работники Компании).

5.3. Взаимодействие с работниками в рамках трудового договора (работники Компании; родственники работников Компании).

5.4. Взаимодействие в рамках договоров с российскими и иностранными контрагентами (работники контрагентов).

5.5. Продвижение товаров работ услуг Компании и третьих лиц-партнеров Компании (физические лица, имеющие намерение воспользоваться услугами (приобрести товары) Оператора или третьих лиц; абоненты, представители абонентов, пользователи; пользователи Интернет-сайтов; пользователи мобильных приложений и сервисов).

5.6. Доступ на объекты Компании и обеспечение безопасности (посетители объектов Компании; соискатели; абоненты, представители абонентов, пользователи; работники Компании; работники контрагентов; физические лица, имеющие намерение воспользоваться услугами (приобрести товары) Оператора или третьих лиц).

5.7. Выполнения требований законодательных актов, нормативных документов (абоненты, представители абонентов, пользователи; соискатели; работники Компании; родственники работников Компании).

5.8. Раскрытие информации о Компании (члены Совета директоров; основатели Компании; работники Компании).

5.9. Статистические или иные исследовательские цели (обезличенные данные, полученные Компанией на законных основаниях).

5.10. Взаимодействие с компаниями в рамках Группы компаний VEON Ltd. (работники компаний, входящих в Группу компаний VEON Ltd.).

5.11. Осуществление абонентского, сервисного и справочно-информационного обслуживания физических лиц (физические лица, обращающиеся на горячую линию, направляющие заявления и обращения; абоненты, представители абонентов, пользователи).

5.12. Предоставление доступа (в т.ч. регистрации) к Интернет-сайтам, платформам, площадкам, маркетплейсам, мобильным приложениям (абоненты, представители абонентов, пользователи; пользователи Интернет-сайтов; пользователи мобильных приложений и сервисов).

6. Способы обработки персональных данных

6.1. Обработка персональных данных в Компании может осуществляться как с использованием, так и без использования средств автоматизации.

6.2. Автоматизированная обработка персональных данных должна осуществляться в ИСПДн Компании в строгом соответствии с настоящей Политикой.

Доступ к ИСПДн предоставляется уполномоченным работникам только для исполнения ими своих должностных обязанностей.

6.3. Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы персональные данные обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах и иными способами.

6.4. Решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, могут быть приняты Компанией на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме.

6.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, производится Компанией только при наличии предварительного согласия субъекта персональных данных.

7. Порядок получения согласия у субъектов персональных данных

7.1. Обрабатываемые Компанией персональные данные могут быть получены, как непосредственно от субъекта персональных данных, так и от иных третьих лиц, в рамках заключенных Компанией договоров.

7.2. При получении персональных данных непосредственно от субъекта персональных данных, согласие может быть получено в любой форме, позволяющей подтвердить факт его получения. В случаях, прямо предусмотренных федеральным законом, обработка персональных данных допускается только при наличии письменного согласия субъекта персональных данных.

7.3. В случае недееспособности субъекта персональных данных письменное согласие на обработку его персональных данных получается от его законного представителя.

7.4. При получении персональных данных не от субъекта персональных данных, Компания, до начала обработки таких персональных данных, обязуется предоставить субъекту персональных данных следующую информацию:

7.5. Компания освобождена от обязанности предоставить субъекту персональных

данных сведения о получении персональных данных от третьих лиц, в следующих случаях: — субъект персональных данных уведомлен соответствующим Оператором об осуществлении обработки его персональных данных Компанией;

8. Права и обязанности субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

8.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона No 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в органе по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.

8.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.5. Сведения предоставляются субъекту персональных данных или его представителю при поступлении обращений (заявление, жалоба, запрос).

Обращение от субъекта персональных данных должно содержать:

8.6. Обращение от субъекта персональных данных или его представителя может быть направлено путем почтового отправления в адрес Оператора, при личном обращении в офисы Оператора, а также в форме электронного документа при соблюдении требований законодательства.

8.7. Субъекту персональных данных или его представителю безвозмездно представляется возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, при необходимости внесение в них необходимых уточнений.

8.8. Субъект персональных данных, в целях уточнения и актуализации своих персональных данных, обязан своевременно представлять Компании информацию об изменении своих персональных данных.

9. Конфиденциальность персональных данных

9.1. Информация, относящаяся к персональным данным, ставшая известной Компании, является конфиденциальной информацией и охраняется законом.

9.2. Работники Компании и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.

9.3. Договоры Оператора с контрагентами содержат условия конфиденциальности передаваемых и получаемых персональных данных, в том числе с лицами, привлекаемыми для обработки персональных данных.

10. Меры по обеспечению безопасности обрабатываемых персональных данных

10.1. Для обеспечения безопасности обрабатываемых персональных данных Компания принимает необходимые правовые, организационные, технические меры защиты.

10.2. В Компании создана система защиты персональных данных, которая базируется на принципах:

10.3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Компании организовано проведение периодических проверок условий обработки персональных данных.

11. Местонахождение баз данных информации, содержащих персональные данные граждан Российской Федерации

11.1. Базы данных информации, содержащие персональные данные граждан Российской Федерации, размещаются на территории Российской Федерации.

12. Передача и поручение персональных данных

12.1. Обработка персональных данных в Компании может осуществляться:

12.2. Обработка персональных данных другими лицами может осуществляться на

основании соответствующего договора с Компанией, в котором содержится поручение на обработку персональных данных с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом No 152-ФЗ «О персональных данных». В поручении должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона No 152-ФЗ «О персональных данных».

12.3. Передача персональных данных третьей стороне должна осуществляться на основании договора, условием которого является обеспечение третьей стороной конфиденциальности и безопасности персональных данных при их обработке, в соответствии с действующим законодательством РФ при наличии согласия субъекта персональных данных на передачу его персональных данных третьей стороне, за исключением случаев, предусмотренных законодательством.

12.4. Компания в процессе своей деятельности вправе осуществлять трансграничную передачу персональных данных внутри Группы VEON, при оформлении командировок на территории иностранных государств, исполнении договорных обязательств с иностранными партнерами и иных случаях. Трансграничная передача персональных данных на территории иностранных государств, может осуществляться со стороны Компании в случаях, предусмотренных статьей 12 Федерального закона No 152-ФЗ «О персональных данных».

13. Обработка биометрических данных и специальных категорий персональных данных

13.1. Компания в рамках своей деятельности вправе осуществлять обработку биометрических персональных данных для установления личности субъекта персональных данных, только при наличии его письменного согласия, за исключением случаев когда обработка осуществляется: в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской

Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате. Форма и порядок получения письменного согласия должен соответствовать требованиям части 4 статьи 9 Федерального закона No 152-ФЗ «О персональных данных».

13.2. Компания может обрабатывать специальные категории персональных данных субъектов (сведения о состоянии здоровья, относящихся к вопросу о возможности выполнения трудовых функций работниками/предоставления материальной помощи) на основании п. 1 и п. 2.3 ч. 2 ст. 10 ФЗ «О персональных данных».

14. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

14.1. Компания в рамках своей деятельности может осуществлять распространение персональных данных субъектов персональных данных, только при наличии соответствующего согласия субъекта персональных данных и в строгом соответствии с требованиями статьи 10.1 Федерального закона No 152-ФЗ «О персональных данных».

14.2. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Компания обязуется обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

14.3. Форма и содержание согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения должны соответствовать требованиям, которые установлены уполномоченным органом по защите прав субъектов персональных данных в отношении такого согласия. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

14.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Оператору:

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с Оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

14.5. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

14.6. Компания обязуется в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

14.7. Компания обязуется прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для

распространения, в случае поступления от субъекта персональных данных соответствующего требования. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

15. Обработка персональных данных с использованием информационно- коммуникационной сети «Интернет» и мобильных приложений

15.1. Сбор персональных данных осуществляется через специальные формы на Интернет-ресурсах Компании, партнеров и мобильных приложений с согласия пользователей.

15.2. Сбор и иная обработка персональных данных пользователей Интернет- ресурсов и мобильных приложений может осуществляться без их согласия в случаях, когда это происходит для исполнения гражданско-правового договора, заключенного между Компанией и пользователем, либо договора, где пользователь является выгодоприобретателем, а также в иных случаях, установленных законодательством Российской Федерации.

15.3. Для каждого из Интернет-ресурсов и мобильных приложений Компании предусмотрена соответствующая политика конфиденциальности, не противоречащая настоящей Политике.

16. Регулирование обработки персональных данных

Обработка персональных данных в Компании осуществляется в соответствии с разработанными в Компании Порядком «Обращение с информацией ограниченного доступа», Положением «Обработка и защита персональных данных», иными внутренними нормативными документами по обработке информации ограниченного доступа и по обработке персональных данных.

17. Заключительные положения

Настоящая Политика, а также все изменения к ней утверждаются Президентом Компании и вступают в силу со дня ее опубликования на сайте Компании в сети Интернет https://www.beeline.ru/ в разделе «Раскрытие информации».

С момента вступления в силу настоящей редакции Политики предыдущую ее редакцию считать недействительной.

Вопросы толкования настоящей Политики необходимо адресовать Ответственному за обработку персональных данных в Компании и в Блок по юридическим вопросам: по адресу: Российская Федерация, 127083, г. Москва, ул. 8 Марта, д. 10, стр. 14.

Действующая редакция Политики хранится по адресу места нахождения исполнительного органа Компании.