Политика в отношении обработки персональных данных

1. Общие положения

1.1 Цель

Целью настоящего документа (далее – «Политика») является утверждение порядка организации обработки персональных данных субъектов персональных данных в ООО «Буарон».

1.2 Область применения

Настоящий документ определяет порядок обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в ООО «БУАРОН» (далее – Компания).

Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.

Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.

Обеспечение неограниченного доступа к настоящей Политике реализуется путем ее публикации на сайтах Компании в сети Интернет.

Настоящая Политика разработана в соответствии с Конвенцией Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных и Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

Настоящая Политика подлежит актуализации в случаях:

• изменения законодательства РФ о персональных данных;
• выявления несоответствий, затрагивающих обработку и (или) защиту ПДн, по результатам контроля выполнения требований по обработке и (или) защите ПДн;
• по решению руководства Компании.

1.3 Определения

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Специальные категории персональных данных - данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.4 Введение

В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» Компания является оператором, т.е. юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод человека и гражданина - субъекта персональных данных при обработке его персональных данных.

В Компании разработаны и введены в действие локальные нормативные акты и документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.

2. Ответственность

Основные обязанности ответственных лиц перечислены ниже:

Составитель документа

• создает Политику
• инициирует/проводит процесс пересмотра Политики, вносит корректировки
• проводит плановый пересмотр Политики
• отвечает за актуальность Политики
• определяет соответствие результатов пересмотра Политики новым требованиям

Владелец процесса

• направляет оригинал Политики и сканированную форму менеджеру по контролю качества
• информирует сотрудников об утверждении Политики посредством электронного оповещения
• собирает и хранит записи об ознакомлении с Политикой
• устанавливает дату вступления в действие после полного утверждения и подписания Политики
• контролирует информирование сотрудников о новых требованиях

Утверждающее лицо

• осуществляет проверку проекта Политики на соответствие требованиям глобальных процедур, головного офиса во Франции, законодательства РФ
• подписывает Политику в процессе утверждения

Все сотрудники

• несут ответственность за своевременное ознакомление с Политикой и подтверждение ознакомления
• несут ответственность за соблюдение Политики

3. Принципы и условия обработки персональных данных

3.1 Принципы и условия обработки персональных данных в Компании

Компания, являясь оператором, осуществляет обработку персональных данных следующих субъектов:

• соискателей на замещение вакантных должностей (кандидатов) – в составе и сроком, необходимым для рассмотрения кандидата и принятия Компанией решения о приеме либо отказе в приеме на работу, с согласия субъекта персональных данных;
• работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для заключения, исполнения, изменения и расторжения трудового договора, стороной которого является субъект ПДн, в том числе содействия в обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, расчета и выплаты заработной платы, иных вознаграждений, расчета и перечисления налогов и страховых взносов, предоставления работникам дополнительных гарантий, компенсаций и льгот;
• родственников работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
• физических лиц по гражданско-правовым договорам – в составе и сроком, необходимыми для заключения, исполнения условий, изменения и расторжения гражданско-правового договора, а также достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию обязанностей;
• представителей контрагентов - в составе и сроком, необходимым для заключения, исполнения, изменения и расторжения договора, стороной которого либо выгодоприобретателем по которому является соответствующий контрагент, проведения и участия в коммерческих тендерах, ведения коммерческих, финансовых, юридических переговоров, направленных на заключение, исполнение, изменение или расторжение любых не запрещенных действующим законодательством договоров, вне зависимости от результатов таких переговоров, проявления должной степени осмотрительности при выборе контрагента; достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, осуществления прав и законных интересов субъекта ПДн;
• врачей - в составе и сроком, необходимым для достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию обязанностей; осуществления мониторинга эффективности и безопасности реализуемой фармацевтической продукции, сбора информации о побочной реакции или неэффективности лекарственных средств или иных фармацевтических препаратов, производимых и реализуемых Компанией; осуществления информационного обеспечения, предоставления услуг посредством сети Интернет, осуществления информационных и рекламных рассылок;
• фармацевтов - в составе и сроком, необходимым для достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию обязанностей, осуществления информационного обеспечения, предоставления услуг посредством сети Интернет, осуществления информационных и рекламных рассылок;
• потребителей - в составе и сроком, необходимым для достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию обязанностей; взаимодействия с потребителями с подозреваемой неблагоприятной побочной реакцией или подозрением о неэффективности лекарственных средств; осуществления мониторинга эффективности и безопасности реализуемой фармацевтической продукции, сбора информации о побочной реакции или неэффективности лекарственных средств или иных фармацевтических препаратов, производимых и реализуемых Компанией; осуществления информационного обеспечения, предоставления услуг посредством сети Интернет, осуществления информационных и рекламных рассылок;
• посетителей офиса Компании – в составе и сроком, необходимым для обеспечения однократного прохода субъекта ПДн на территорию офиса Компании;
• пользователей сайтов Компании – в составе и сроком, необходимым для осуществления информационного обеспечения и предоставления услуг посредством сети Интернет.

Сроки обработки персональных данных определены с учетом:

• установленных целей обработки персональных данных;
• сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
• сроков, определенных Приказом Росархива от 20.12.2019 N 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными нормативными правовыми актами РФ;
• сроков хранения документации, установленных внутренними нормативными актами Компании.

Компания осуществляет обработку персональных данных на законной и справедливой основе.

При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Компания может осуществлять обработку ПДн, разрешенных субъектом ПДн для распространения, при соблюдении положений ст. 10.1 Закона и при наличии согласия субъекта ПДн, которое оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.

В Компании в целях информационного обеспечения с письменного согласия субъекта ПДн могут создаваться общедоступные источники ПДн. Сведения о субъекте ПДн исключаются из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

Персональные данные медицинского персонала, опубликованные на сайте предназначены лишь для информирования пользователей сайта Компании. Не допускается использование опубликованных персональных данных третьими лицами в любых иных целях. Установлен запрет на передачу (кроме предоставления доступа посредством сайта) персональных данных неограниченному кругу лиц, а также запрет на обработку (кроме получения доступа) этих персональных данных неограниченным кругом лиц согласно ст.10.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных».

Компания осуществляет обработку специальных категорий персональных данных. При этом Компания выполняет все требования к обработке специальных категорий персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

В Компании не осуществляется обработка персональных данных о судимости.

Компания не осуществляет обработку биометрических персональных данных.

Компания осуществляет трансграничную передачу персональных данных. При этом Компания выполняет все требования к трансграничной передаче персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

В Компании осуществляется обработка ПДн субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи с предварительного согласия субъекта ПДн. При этом Компания выполняет все требования к данному виду обработки, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

Компания не осуществляет обработку персональных данных в целях политической агитации.

В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

Компания поручает обработку персональных данных другим лицам. При этом Компания выполняет все требования к поручению обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет все требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

Компания до начала осуществления деятельности по трансграничной передаче персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных согласно статье 12 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

3.2 Права субъектов персональных данных, обрабатываемых в Компании

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос по адресу: г. Москва, ул. Долгоруковская, д.7, этаж 11 в порядке, установленном ст.14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Для реализации указанных требований субъект персональных данных может отправить письменный запрос по адресу: г. Москва, ул. Долгоруковская, д.7, этаж 11 в порядке, установленном ст.21 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

3.3 Исполнение обязанностей оператора Компанией

Компания получает персональные данные от субъектов персональных данных, от третьих лиц (лиц, не являющихся субъектами персональных данных) и из общедоступных источников персональных данных (в том числе в информационно-телекоммуникационной сети Интернет). При этом Компания выполняет обязанности, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» при сборе персональных данных.

Компания прекращает обработку персональных данных в следующих случаях:

• по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;
• по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
• в случае отзыва субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Компанией на основании согласия субъекта персональных данных);
• устранены причины, вследствие которых осуществлялась обработка персональных данных, если иное не установлено федеральным законом;
• в случае ликвидации Компании.

В Компании для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:

• назначен Ответственный за организацию обработки персональных данных;
• изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:
  • Положение об обработке персональных данных;
  • Положение об обеспечении безопасности персональных данных
  • другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных.
• применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
• осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;
• проведена оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов;
• работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов Компании по вопросам обработки персональных данных.

В Компании реализуются следующие требования к защите персональных данных:

• определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применены организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации в случае, если использование таких средств необходимо для нейтрализации актуальных угроз
• проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• осуществляется учет машинных носителей персональных данных;
• осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
• осуществляется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Компании готова обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.

4.0 Перечень, цели и сроки обработки персональных данных

Компания осуществляет обработку следующих сведений, составляющих ПДн различных категорий субъектов ПДн:

4.1 ПДн соискателей на замещение вакантных должностей в Компании (кандидатов)

• ФИО
• Дата рождения
• Адрес проживания
• Сведения об образовании (наименование учебного заведения, специальность по диплому, квалификация по диплому)
• Сведения об опыте работы (место работы, должность, продолжительность периода работы)
• Контактные данные (адрес электронной почты, номер контактного телефона)
• Возраст
• Пол
• Подпись.

4.2 ПДн работников Компании

• ФИО
• ФИО на английском языке (как в загран.паспорте)
• Пол
• Дата рождения
• Место рождения
• Гражданство
• Данные паспорта или иного документа, удостоверяющего личность (серия, номер, сведения о дате и подразделении выдачи)
• Данные документов об образовании, о квалификации или наличии специальных знаний (наименование образовательного учреждения, год окончания, квалификация, специальность)
• Знание иностранных языков
• Данные трудовой книжки или сведения о трудовой деятельности (профессия, специальность, сведения о работе: место работы, должность, сведения о награждениях)
• Номер свидетельства обязательного пенсионного страхования (СНИЛС), Уведомление о регистрации в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа
• ИНН
• Сведения о семейном положении
• Адрес регистрации
• Адрес проживания
• Контактные данные (номер контактного телефона, адрес электронной почты)
• Табельный номер
• Данные о переводах
• Данные об аттестации
• Данные о повышении квалификации
• Данные о профессиональной переподготовке
• Данные медицинской книжки
• Данные о наградах, почетных званиях
• Данные об отпусках, социальных льготах
• Сведения о наличии водительских прав
• Сведения о состоянии здоровья
• Данные в трудовом договоре и в дополнительных соглашениях к нему (должность, подразделение, размер заработной платы (оклад, надбавка), график и условия работы, дополнительные сведения, сведения о расторжении трудового договора)
• Данные документов воинского учета (воинское звание, военно-учетная специальность, категория годности к военной службе, отметка о принятии / снятии с воинского учета)
• Другие данные в досье работника (данные заявлений и письменных объяснений, данные решений о поощрении и решений о наложении дисциплинарного взыскания, данные приказов и других документов)
• Данные свидетельства о рождении детей
• Данные заграничного паспорта (серия, номер, сведения о дате и подразделении выдачи)
• Сведения о медицинском страховании\страховании жизни
• Банковские реквизиты
• Информация о платеже (сроки, сумма начислений)
• Реквизиты доверенности
• Адрес места работы
• Геолокационные данные
• Фото
• Подпись.

4.3 ПДн родственников работников Компании

• ФИО
• ФИО на английском языке (как в загран паспорте)
• Степень родства
• Дата рождения
• Место рождения
• Гражданство
• Реквизиты свидетельства о рождении детей (серия, номер, дата выдачи)
• Данные для выплаты алиментов (ФИО, расчетный счет)
• Реквизиты свидетельства о смерти (ФИО, гражданство, дата рождения, место рождения, дата смерти, место смерти, дата выдачи свидетельства).

4.4 ПДн физических лиц по договору гражданско-правового характера (ФЛ; ИП)

• ФИО
• Должность
• Паспортные данные
• Дата рождения
• Адрес регистрации
• Адрес местонахождения
• Фактический адрес проживания
• Контактные данные
• ИНН
• СНИЛС, Уведомление о регистрации в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа
• Банковские реквизиты
• Информация о платеже
• Сумма начислений, удержанных и начисленных налогов
• Данные заграничного паспорта
• Сведения из доверенности
• Данные справки из банка
• Данные из Анкеты
• Подпись

ПДн лидеров мнений:

• ФИО
• Наименование организации
• Паспортные данные
• Регалии
• Контактный номер телефона
• Адрес электронной почты
• Специальность
• Уровень (национальный, региональный)
• Ставка за лекцию
• Данные заграничного паспорта
• ИНН
• СНИЛС, Уведомление о регистрации в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа
• Банковские реквизиты
• Информация о платеже
• Сумма начислений, удержанных и начисленных налогов
• Дата рождения
• Подпись.

4.5 ПДн представителей контрагентов (ЮЛ)

• ФИО
• Паспортные данные (серия, номер, сведения о дате и подразделении выдачи)
• Контактные данные (номер контактного телефона, адрес электронной почты)
• Данные доверенности (номер, дата выдачи)
• Сведения о работе (место работы, должность)
• ИНН
• СНИЛС, Уведомление о регистрации в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа
• Банковские реквизиты
• Информация о платеже (сроки, сумма начислений)
• Подпись.

4.6 ПДн врачей

• ФИО
• Сведения о работе (место работы, должность, специализация)
• Контактные данные (адрес электронной почты, номер контактного телефона)
• Код специалиста.

4.7 ПДн фармацевтов

• ФИО
• Сведения о работе (место работы, адрес места работы, должность, специализация)
• Контактные данные (адрес электронной почты, номер контактного телефона)
• Код специалиста.

4.8 ПДн потребителей

• ФИО
• Дата рождения
• Сведения о работе (место работы, должность)
• Контактные данные (адрес электронной почты, номер контактного телефона)
• Диагноз
• Пол
• Вес
• Возраст
• Сведения о состоянии здоровья (нежелательная реакция)
• Подпись.

4.9 ПДн посетителей офиса

• ФИО
• Место работы
• Должность
• Контактные данные (адрес электронной почты, номер контактного телефона).

4.10 ПДн пользователей сайтов Компании

• ФИО
• Сведения о работе (место работы, должность, специальность)
• Город
• Контактные данные (адрес электронной почты, номер контактного телефона)
• Код специалиста
• Дата рождения
• Cookie-файлы
• IP-адрес
• Геолокационные данные.

Компания осуществляет обработку указанных ПДн в целях, в сроки и на правовых основаниях, указанных в таблице.