Top.Mail.Ru

Политика обработки персональных данных

Политика обработки персональных данных (далее – Политика) в ЗАО «Канонфарма продакшн» (далее – Компания) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции Компании при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Компании требования к защите персональных данных.

Настоящая Политика разработана в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – ФЗ № 152).

Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки персональных данных работников Компании и других субъектов персональных данных.

В настоящей Политике используются следующие термины и определения:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с использованием средств автоматизации, а также без использования таких средств. Настоящая Политика является общедоступной и подлежит публикации на официальном сайте Компании (canonpharma.ru).

1. Принципы и цели обработки персональных данных

Компания осуществляет обработку персональных данных субъектов персональных данных с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • законной и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями их обработки;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных.

Персональные данные обрабатываются в Компании в целях:

  • обеспечения соблюдения законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;
  • осуществления функций, полномочий и обязанностей, возложенных действующим законодательством на Компанию, в том числе по предоставлению персональных данных;
  • защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
  • подготовки, заключения, исполнения и прекращения договоров (и приложений к ним) с контрагентами;
  • формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании;
  • осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами, или третьих лиц, либо достижения общественно значимых целей;
  • в иных законных целях.

Перечень субъектов персональных данных, обрабатываемых в Компании

В Компании обрабатываются персональные данные следующих категорий субъектов:

  • работники Компании;
  • субъекты персональных данных, не являющиеся работниками Компании, обработка персональных данных которых производится в целях обеспечения деятельности Компании (в т.ч. кандидаты на вакантные должности и посетители, допускаемые на территорию Компании);
  • другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 1 Политики).

3. Перечень персональных данных, обрабатываемых в Компании

Перечень персональных данных, обрабатываемых в Компании определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами с учетом целей обработки персональных данных, указанных в разделе 1 Политики.

Компания не осуществляет:

  • обработку персональных данных с целью распространения;
  • обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни
  • трансграничную передачу персональных данных.

4. Функции Компании при осуществлении обработки персональных данных

Компания при осуществлении обработки персональных данных:

  • принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов в области персональных данных;
  • принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • назначает лицо и Комиссию, которые являются ответственными за организацию обработки персональных данных в Компании;
  • издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Компании;
  • осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требованиями к защите персональных данных, и (или) обучение указанных работников;
  • публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
  • сообщает в установленном порядке субъектам персональных данных или их законным представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их законных представителей, если иное не установлено законодательством Российской Федерации
  • прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации;
  • совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

5. Условия обработки персональных данных в Компании

Обработка персональных данных в Компании осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Компания, без согласия субъекта персональных данных, не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Российской Федерации.

Компания вправе поручить обработку персональных данных другому лицу с письменного согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ № 152.

В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

6. Перечень действий с персональными данными и способы их обработки в Компании

Компания осуществляет обработку персональных данных следующими способами:

  • неавтоматизированная обработка персональных данных;
  • смешанная обработка персональных данных.

Права субъектов персональных данных

7. Права субъектов персональных данных

Субъекты персональных данных имеют право на:

  • ⦁ полную информацию об их персональных данных, обрабатываемых в Компании;
  • ⦁ уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • ⦁ отзыв согласия на обработку персональных данных;
  • ⦁ принятие предусмотренных законодательством Российской Федерации мер по защите своих прав в области персональных данных;
  • ⦁ обжалование действия или бездействия Компании, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
  • ⦁ осуществление иных прав, предусмотренных законодательством Российской Федерации в области персональных данных.

8. Меры, принимаемые Компанией для обеспечения выполнения обязанностей оператора при обработке персональных данных

Меры, необходимые и достаточные для обеспечения выполнения Компанией обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:

  • назначение лица и Комиссии, которые являются ответственными за организацию обработки персональных данных в Компании;
  • принятие локальных актов по вопросам обработки персональных данных в Компании;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ № 152;
  • осуществление внутреннего контроля или аудита соответствия обработки персональных данных ФЗ № 152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике в отношении обработки персональных данных, локальным актам Компании;
  • оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ № 152;
  • ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников;
  • определение угроз безопасности персональных данных при их обработке в информационных системах Компании;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Компании, необходимых для выполнения требований к защите персональных данных;
  • учет машинных носителей персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем Компании.

Меры по обеспечению безопасности персональных данных при их обработке в информационных системах Компании устанавливаются в соответствии с локальными нормативными актами, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в Компании.

9. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Компании в области персональных данных

Контроль за соблюдением Компанией законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в Компании требованиям законодательства Российской Федерации и локальным нормативным актам в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

Внутренний контроль за соблюдением в Компании законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется Комиссией, создаваемой на основании приказа.

10. Изменение Политики

В целях обеспечения эффективности осуществления мероприятий по обработке персональных данных, настоящая Политика подлежит пересмотру и актуализации (корректировке, изменению) в случае существенных изменений законодательства Российской Федерации в области защиты персональных данных.