Политика по обработке и защите персональных данных

ПОЛИТИКА

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО "АЛКОН ФАРМАЦЕВТИКА"

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение документа

Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с частью 1 статьи 18.1 Федерального закона No152 "О персональных данных" и определяет основные принципы, цели, условия и способы обработки персональных данных, категории субъектов персональных данных и обрабатываемых персональных данных, права и обязанности ООО "Алкон Фармацевтика" (далее – Компания), при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Компании меры по обеспечению безопасности персональных данных.

Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в Компании вопросы обработки персональных данных.

1.2. Область действия

Действие настоящей Политики распространяется на персональные данные, обрабатываемые Компанией как с использованием средств автоматизации, в том числе в информационно- телекоммуникационных сетях, так и без использования таких средств.

1.3. Используемые термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Неавтоматизированная обработка персональных данных – обработка персональных данных (использование, уточнение, распространение, уничтожение) при непосредственном участии человека, содержащихся в информационной системе персональных данных либо извлечённых из такой системы.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Специальная категория персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Принципы обработки

Обработка персональных данных в Компании осуществляется на основании следующих принципов:

законности и справедливости целей и способов обработки персональных данных;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
уничтожения персональных данных по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
обеспечения записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных.

2.2. Общий порядок обработки

Компания обрабатывает персональные данные в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства РФ в области персональных данных.

При обработке персональных данных, обеспечивается их конфиденциальность, целостность и доступность.

При определении объема и содержания, обрабатываемых персональных данных Компания руководствуется Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года No 152 "О персональных данных" и другими нормативными актами, договорами, заключаемыми с субъектами персональных данных, уставными документами Компании и иными внутренними нормативными актами и согласиями на обработку персональных данных. Объем и содержание обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных.

Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее. Обязательство по уведомлению субъектов об обработке их персональных данных Компанией должно быть зафиксированы в соответствующих поручениях обработки персональных данных с контрагентами-операторами персональных данных.

Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта персональных данных, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры.

Трансграничная передача персональных данных осуществляется в соответствии с Федеральным законом от 27 июля 2006 года No 152-ФЗ "О персональных данных".

Компания может поручить обработку персональных данных другому лицу при выполнении следующих условий:

получено согласие субъекта персональных данных на поручение обработки персональных данных другому лицу;
поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора или поручения в иной форме, разработанного с учетом требований Федерального закона РФ от 27.07.2006 No 152-ФЗ "О персональных данных".

Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Компанией. Компания несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Компания поручила обработку персональных данных.

Все документы, содержащие персональные данные, должны быть уничтожены установленным порядком по достижении цели, для которой они собирались, в случае истечения срока обработки персональных данных, установленного при сборе персональных данных, а также в случае отзыва согласия субъекта персональных данных, если отсутствуют иные законные основания обработки персональных данных.

2.3. Основания обработки персональных данных

Правовыми основаниями обработки персональных данных субъектов персональных данных в Компании являются, включая, но не ограничиваясь:

статья 24 Конституции Российской Федерации;
статья 6 Федерального закона от 27 июля 2006 года No 152-ФЗ"О персональных данных";
статьи 86-90 Трудового кодекса Российской Федерации;
Налоговый кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
статья 8 Федерального закона No 27-ФЗ от 1 апреля 1996 года "Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования";
Постановление Госкомстата России от 5 января 2004 года No 1"Об утверждении унифицированных форм первичной учётной документации по учёту труда и его оплаты";
Статья 13.2 Федерального закона от 25 июля 2002 года No 115-ФЗ "О правовом положении иностранных граждан в Российской Федерации";
Федеральный закон от 29 декабря 2006 года No 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством";
Федеральный закон от 06 декабря 2011 года No 402-ФЗ "О бухгалтерском учете";
статья 64 Федерального закона от 12 апреля 2010 года No 61-ФЗ "Об обращении лекарственных средств";
статья 96 Федеральный закон от 21 ноября 2011 года No 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
заключенные договоры и (или) соглашения;
наличие согласий субъектов персональных данных, в том числе, письменных согласий субъектов.

Основания обработки персональных данных зависят от конкретных обстоятельств сбора и обработки персональных данных и устанавливаются в каждом случае отдельно.

2.4. Состав обрабатываемых персональных данных

Субъектами персональных данных являются:

работники Компании;
соискатели на должность в Компании;
бывшие работники Компании;
физические лица, выполняющие работы по договорам гражданско-правового характера;
члены семей работников и бывших работников Компании;
специалисты сферы здравоохранения;
посетители и пользователи веб-сайта;
участники программы лояльности;
посетители офиса Компании;
потребители продукции Компании;
иные третьи лица (например, представители лиц, состоящих в договорных отношениях с Компанией).

Состав и содержание обрабатываемых персональных данных, указанных в настоящем разделе, может расширяться и изменяться с целью исполнения зафиксированных и законных целей обработки.

Для каждой категории субъектов персональных данных определены цели обработки их персональных данных.

Целями обработки персональных данных работников Компании являются:

соблюдение законодательства Российской Федерации;
трудоустройство в соответствии с действующим законодательством Российской Федерации;
обеспечение использования субъектом персональных данных его прав и выполнения обязанностей, предусмотренных трудовым договором и внутренними локальными актами Компании.

Целями обработки персональных данных физических лиц, выполняющих работы по договорам гражданско-правового характера являются:

соблюдение законодательства Российской Федерации;
обеспечение использования субъектом персональных данных его прав и выполнения обязанностей, предусмотренных гражданско-правовым договором и внутренними локальными актами Компании.

Целями обработки персональных данных бывших работников Компании являются:

соблюдение законодательства Российской Федерации;
ведение кадрового делопроизводства и формирования кадрового резерва;
осуществление выплат по итогам прошлых периодов;
обеспечение использования субъектом персональных данных его прав и выполнения обязанностей, предусмотренных трудовым договором и внутренними локальными актами Компании, в частности: организация мероприятий с участием субъекта персональных данных.

Целями обработки персональных данных соискателей на должность в Компании являются:

соблюдение законодательства Российской Федерации;
ведение кадрового делопроизводства и формирования кадрового резерва;
подбор соискателей на вакантные должности.

Целями обработки персональных данных членов семей работников и бывших работников Компании являются:

соблюдение законодательства Российской Федерации;
обеспечение использования субъектом персональных данных его прав и выполнения обязанностей, предусмотренных трудовым договором и внутренними локальными актами Компании.

Целями обработки персональных данных специалистов сферы здравоохранения являются:

соблюдение законодательства Российской Федерации;
прием и обработка сообщений и жалоб;
осуществление коммуникаций с субъектами персональных данных.

Целями обработки персональных данных посетителей и пользователей веб-сайта являются:

соблюдение законодательства Российской Федерации;
прием и обработка сообщений и жалоб потребителей продукции;
предоставление посетителям и пользователям веб-сайтов безопасного и удобного функционала по его использованию, эффективного отображения информации;
осуществление коммуникаций с субъектами персональных данных с целью рассылки информации о предстоящих мероприятиях и проектах, информации о продуктах Компании, предоставления доступа к обучающим материалам. Целями обработки персональных данных участников программы лояльности являются:
соблюдение законодательства Российской Федерации;
предоставление права на участие в программах лояльности и других маркетинговых акциях Компании.

Целями обработки персональных данных посетителей офиса Компании являются:

соблюдение законодательства Российской Федерации;
обеспечение контроля безопасности помещений Компании, включая материальные активы.

Целями обработки персональных данных потребителей продукции Компании являются:

прием и обработка сообщений и жалоб.

2.5. Обработка биометрических и персональных данных специальных категорий

Обработка специальных категорий персональных данных допускается в следующих случаях:

субъект персональных данных дал согласие в письменной форме;
персональные данные сделаны общедоступными субъектом персональных данных;
обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных в момент начала обработки невозможно.

Обработка персональных данных специальных категорий должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законодательством.

Обработка биометрических персональных данных в Компании не осуществляется.

2.6. Доступ к персональным данным

Лица, доступ которых к персональным данным, обрабатываемым в информационных системах Компании, необходим для выполнения трудовых обязанностей, допускаются к соответствующим персональным данным на основании перечня, утвержденного генеральным директором Компании, и только после подписания письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки.

Работники, имеющие доступ к персональным данным, имеют право получать и обрабатывать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Принципы обеспечения безопасности персональных данных

Защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается Компанией в установленном действующем законодательством и локальными актами Компании порядке, выполнением комплекса организационных и технических мер, обеспечивающих их безопасность.

Меры по обеспечению информационной безопасности персональных данных при их обработке распространяются как на персональные данные, зафиксированные на бумажных носителях, так и на персональные данные в электронном виде.

Организацию защиты персональных данных в подразделениях обеспечивают руководители подразделений.

Получение и обработка уполномоченными лицами персональных данных производится после подписания субъектом персональных данных согласия в случаях, если это требуется законодательством.

3.2. Меры по обеспечению безопасности персональных данных

Меры по обеспечению безопасности персональных данных, применяемые в Компании:

назначение ответственного за организацию обработки персональных данных;
назначение ответственного за обеспечение безопасности персональных данных
издание документов, определяющих политику Компании в отношении обработки персональных данных, внутренних нормативных актов по вопросам обработки персональных данных, а также внутренних нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, устранение последствий таких нарушений;
ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации в области персональных данных и внутренними нормативными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
определение угроз безопасности персональных данных при их обработке в ИСПДн;
в рамках моделирования угроз осуществляется оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации в области персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства Российской Федерации в области персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
учёт машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учёта всех действий, совершаемых с персональными данными в ИСПДн;
контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости ИСПДн.

4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ КОМПАНИИ

В соответствии с требованиями Федерального закона РФ от 27 июля 2006 года No 152-ФЗ "О персональных данных" субъект персональных данных имеет право:

получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом;
определять своих представителей для защиты своих персональных данных;
требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона (субъект персональных данных, при отказе Компании или уполномоченного ей лица исключить или исправить персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);
требовать от Компании или уполномоченного ей лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
обжаловать в суде любые неправомерные действия или бездействие руководителя организации или уполномоченного им лица при обработке и защите персональных данных;
вносить предложения по мерам защиты персональных данных.

В соответствии с требованиями Федерального закона РФ от 27 июля 2006 года No 152-ФЗ "О персональных данных" Компания обязуется:

осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом РФ от 27 июля 2006 года No 152-ФЗ "О персональных данных";
не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом РФ от 27 июля 2006 года No 152-ФЗ "О персональных данных";
представлять доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется.
осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных, в случаях, предусмотренных Федеральным законом РФ от 27 июля 2006 года No 152-ФЗ "О персональных данных".
предоставлять субъекту персональных данных или его представителю по запросу информацию, касающуюся обработки персональных данных соответствующего субъекта персональных данных, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27 июля 2006 года No 152-ФЗ "О персональных данных", в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя;
разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональных данных, если предоставление персональных данных является обязательным в соответствии с Федеральным законом РФ от 27 июля 2006 года No 152-ФЗ "О персональных данных";
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
вносить изменения в обрабатываемые персональных данных по требованию субъекта персональных данных или его представителя, в случае подтверждения факта неточности обрабатываемых персональных данных соответствующего субъекта персональных данных в течение 7 рабочих дней.
блокировать обработку персональных данных в случае выявления неправомерной обработки при обращении субъекта персональных данных или его представителя с момента получения такого обращения, если блокирование персональных данных не нарушает права и законные интересы соответствующего субъекта персональных данных или третьих лиц.
уничтожать персональные данные соответствующего субъекта персональных данных в срок, не превышающий 10 рабочих дней, в случае, если обеспечить правомерность обработки персональных данных невозможно;
уведомлять субъекта персональных данных или его представителя об устранении допущенных нарушений или об уничтожении персональных данных.
вести журнал учета обращений субъектов персональных данных, в котором фиксируются все запросы и обращения субъектов персональных данных или их представителей;
прекращать обработку и уничтожать персональные данные соответствующего субъекта персональных данных, в случае достижения цели обработки персональных данных в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом персональных данных, либо Федеральным законом РФ от 27 июля 2006 года No 152-ФЗ "О персональных данных" или другими федеральными законами.
прекращать обработку персональных данных и уничтожать персональные данные соответствующего субъекта персональных данных, в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных в срок, не превышающий30 дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных.

5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Работники, имеющие доступ к персональным данным несут личную ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Разглашение персональных данных в соответствии с Трудовым Кодексом РФ является грубым нарушением трудовых обязанностей.

6. КОНТРОЛЬ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ

Повседневный контроль порядка обращения с персональными данными осуществляют руководители тех структурных подразделений Компании, в которых обрабатываются персональные данные субъектов.

Периодический контроль выполнения настоящей Политики возлагается на должностное лицо, назначенное генеральным директором Компании, ответственным за организацию обработки персональных данных.

7. КОНТАКТНЫЕ ДАННЫЕ

Если у Вас возникли вопросы или жалобы относительно соблюдения данной Политики свяжитесь с нами по телефону +7 (495) 961-13-33.