1. Общие положения
1.1. В целях выполнения норм действующего законодательства Российской Федерации в полном объеме ООО «ЭГИС-РУС» (далее — Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика организации обработки и обеспечения безопасности персональных данных в ООО «ЭГИС-РУС» (далее — Политика) характеризуется следующими признаками:
- разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
- раскрывает способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
- является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных.
1.3. Оператор до начала обработки персональных данных осуществил уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Оператор добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.
2. Основные понятия, используемые в Политике
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Специальные категории персональных данных – особые категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, членства в профсоюзах, состояния здоровья и интимной жизни.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.
Ответственный за организацию обработки персональных данных – физическое или юридическое лицо, назначаемое ООО «ЭГИС-РУС» ответственным за организацию обработки персональных данных.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Субъект персональных данных, давая согласие на обработку своих персональных данных, должен быть проинформирован о целях их обработки. Цели обработки должны быть включены в форму согласия субъекта персональных данных. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Основные права и обязанности Оператора.
3.1. Оператор имеет право:
- получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
- требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
3.2. Оператор обязан:
- обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
- рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
- предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
- принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
- организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.
4. Основные права и обязанности субъектов персональных данных
4.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
4.2. Субъект персональных данных вправе требовать от Оператора уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
4.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
4.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
4.6. Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных.
4.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
4.8. Субъект персональных данных обязан предоставлять Оператору только достоверные данные о себе, а также предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки.
4.9. Субъект персональных данных обязан сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
4.10. Лицо, передавшее Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством РФ.
5. Цели сбора персональных данных
5.1. Обработка персональных данных в ООО «ЭГИС-РУС» ограничивается достижением конкретных, заранее определенных и законных целей.
5.2. Персональные данные обрабатываются ООО «ЭГИС-РУС» в следующих целях:
- привлечение и рассмотрение кандидатов на замещение вакантных должностей, в том числе посредством проверки и запросов дополнительной информации, для оценки деловых качеств с целью принятия решения об отказе/заключения трудового договора, или включения в кадровый резерв с целью возможного трудоустройства в будущем;
- заключение с субъектами персональных данных любых сделок и договоров, и дальнейшее исполнение обязательств по заключенным сделкам и договорам;
- информирование субъектов персональных данных в рамках профессиональной деятельности, включая информирование о мероприятиях, проводимых и (или) организуемых ООО «ЭГИС-РУС»;
- проведение ООО «ЭГИС-РУС» опросов, интервью, лекций, и других мероприятий с участием субъектов персональных данных;
- публикация научных результатов профессиональной деятельности субъектов персональных данных;
- ведение баз данных, содержащих персональные данные физических лиц, взаимодействующих с Оператором, в том числе по вопросам научной деятельности, для осуществления деловых контактов;
- предоставление субъектам персональных данных научной, медицинской и иной информации, включая информацию о продуктах и услугах ООО «ЭГИС-РУС», и осуществление информационной рассылки, в том числе рекламного характера;
- сбор информации о потребителях продукции ООО «ЭГИС-РУС», включая продукцию под товарным знаком «Egis», и мнений потребителей о продукции ООО «ЭГИС-РУС», в частности о ее качестве;
- выполнение требований законодательства РФ о фармаконадзоре, включая осуществление мониторинга безопасности лекарственных препаратов (фармаконадзора) и улучшение качества товаров;
- выполнение требований кодексов международных ассоциаций фармацевтических компаний (EFPIA, AIPM);
- соблюдение и исполнение обязательных требований законодательства Российской Федерации в области обязательного медицинского, пенсионного страхования, трудового, гражданского и налогового законодательства, включая законодательство в области защиты прав потребителей, охраны труда и т.п.;
- ведение кадровой работы и организация учета сотрудников (работников) ООО «ЭГИС-РУС»;
- регулирование трудовых и иных, непосредственно связанных с ними отношений, включая содействие сотрудникам (работникам) в трудоустройстве, обучении и продвижении по службе, а также установление размера заработной платы, расчет заработной платы и ее выплату, и обеспечение личной безопасности сотрудников;
- обеспечение законных интересов ООО «ЭГИС-РУС», включая поддержание внутреннего порядка, защиту имущества и собственности;
- пользование льготами, компенсациями и бонусами предусмотренными законодательством РФ и актами ООО «ЭГИС-РУС»;
- оформление добровольного медицинского страхования и страхования жизни и здоровья от несчастных случаев;
- оказание помощи в оформлении виз, приглашений и проездных билетов, а также бронирование гостиниц;
- обеспечение сотрудников мобильной связью;
- выдача служебных автомобилей и оказание помощи в предоставлении транспортных услуг;
- профилактика и препятствование распространению инфекционных заболеваний;
- организация поощрительных программ для субъектов персональных данных;
- осуществление представительства, в том числе оформление доверенностей;
- осуществление хозяйственной деятельности, включая отправку и получение корреспонденции и иных почтовых отправлений, а также предоставление доступа к ИТ ресурсам оператора и оказание поддержки в их использовании;
- организация пропускного режима на территорию Оператора;
- размещение персональных данных субъектов персональных данных на общедоступных ресурсах, включая интернет сайты ООО «ЭГИС-РУС» и компаний, входящих в одну группу лиц с ООО «ЭГИС-РУС», а также официальные страницы в социальных сетях, для информационного обеспечения в случаях предусмотренных законом и локальными актами ООО «ЭГИС-РУС», а также для продвижения бренда «Egis» и компаний, входящих в одну группу лиц с ООО «ЭГИС-РУС», и улучшение лояльности к бренду «Egis»;
- осуществление раскрытия информации и обеспечение соблюдения требований законодательства при принятии управленческих решений;
- предоставление сотрудникам электронной подписи;
- коммуникация в экстренных случаях;
- формирование и ведение базы данных, содержащей персональные данные физических лиц — представителей юридических лиц и индивидуальные предпринимателей, для осуществления деловых контактов;
- аналитика действий пользователей на веб-сайте и функционирования веб-сайта, а также регистрация на интернет-сайтах оператора;
- обратная связь с субъектами персональных данных, в том числе приём и обработка их запросов и обращений, а также поздравление с праздниками;
- коммуникация или получение/предоставление информации, необходимой для осуществления деятельности;
- получение (регистрация) и хранение персональных данных и их носителей в соответствии с законодательством Российской Федерации и внутренними регламентами ООО «ЭГИС-РУС» для осуществления деятельности, предусмотренной Уставом Общества;
- осуществление иных функций, полномочий и обязанностей, возложенных на ООО «ЭГИС-РУС» законодательством РФ и внутренними регулирующими документами ООО «ЭГИС-РУС».
5.3. ООО «ЭГИС-РУС» не обрабатывает персональные данные, несовместимые с целями сбора персональных данных.
5.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
6. Правовые основания обработки персональных данных
6.1. Политика разработана в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
6.2. К правовым основаниям обработки персональных данных в соответствии с которыми ООО «ЭГИС-РУС» осуществляет обработку персональных данных, кроме законодательства Российской Федерации в области обработки и защиты персональных данных, также относятся:
- уставные документы Оператора;
- договоры, заключаемые между ООО «ЭГИС-РУС» и субъектами персональных данных;
- согласия субъектов персональных данных на обработку персональных данных;
- иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
6.3. Во исполнение Политики руководителем Оператора утверждено «Положение об организации обработки и обеспечении безопасности персональных данных в ООО «ЭГИС-РУС», а также приняты иные локальные акты Оператора в сфере обработки и защиты персональных данных.
7. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
7.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.2. Оператор обрабатывает следующие категории субъектов ПДн:
- Соискатели;
- Сотрудники;
- Уволенные сотрудники;
- Родственники сотрудников;
- Специалисты здравоохранения;
- Заявители о нежелательных явлениях;
- Потребители продукции и их законные представители;
- Физические лица – представители юридических лиц, индивидуальные предприниматели.
7.3. Ниже приведены состав обрабатываемых ПДн для каждой категории:
- Соискатели:
- фамилия, имя отчество;
- дата рождения (число, месяц, год);
- место рождения;
- гражданство;
- пол;
- вид и данные документа, удостоверяющего личность (серия, номер, когда и каким органом выдан, код подразделения);
- адрес фактического проживания;
- адрес регистрации по месту жительства/пребывания;
- сведения о наличии регистрации по месту жительства/пребывания;
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (уровень образования, форма обучения, наименование учебного заведения, год окончания учебного заведения, наименование и реквизиты документа об образовании, квалификация и специальность по документу об образовании);
- сведения об ученой степени и звании, даты присвоения ученого звания/степени;
- сведения о повышении квалификации и прохождении аттестации (номер и дата выдачи удостоверения о прохождении обучения);
- информация о владении иностранными языками, степень владения, предпочитаемый язык общения;
- сведения о навыках и профессиональном опыте, включая сведения об опыте работы с компьютером (уровень владения программами, скорость набора информации);
- профессиональная область;
- специализация;
- сведения о трудовой деятельности и ее результатах, включая перечень обязанностей, сведения о работодателях (месяц и год поступления на работу, месяц и год ухода с работы, занимаемая должность, наименование организации), продвижении по службе, дисциплинарных взысканиях, переходах на новую должность/место работы, причинах увольнения, и стаже работы;
- разрешение на работу;
- желаемая должность;
- желаемая зарплата и уровень заработной платы на текущем (предыдущем) месте работы;
- желаемый тип занятости и график работы;
- готовность к командировкам и к переезду;
- сведения о важных критериях при выборе места работы;
- информация о рекомендателях (фамилия, имя, отчество, место работы, контактный телефон);
- семейное положение, наличие детей (с указанием количество и возраста);
- сведения о наличии водительского удостоверения (серия, номер), категории и стаже;
- сведения о наличии автомобиля;
- сведения об ограничениях трудовой деятельности по состоянию здоровья;
- сведения о результатах собеседований и принятом решении;
- сведения о предпочтениях, увлечениях, интересах и хобби;
- фотографическое изображение;
- подпись;
- дополнительные сведения, предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
- Сотрудники и уволенные сотрудники:
- фамилия, имя, отчество;
- дата рождения (число, месяц, год);
- место рождения;
- гражданство;
- пол;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес фактического проживания;
- адрес регистрации по месту жительства/пребывания;
- сведения о наличии регистрации по месту жительства/пребывания;
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (уровень образования, форма обучения, наименование учебного заведения, год окончания учебного заведения, наименование и реквизиты документа об образовании, квалификация и специальность по документу об образовании);
- сведения об ученой степени и звании, даты присвоения ученого звания/степени;
- сведения о специальных профессиональных знаниях и навыках;
- сведения о повышении квалификации и прохождении аттестации (номер и дата выдачи удостоверения о прохождении обучения);
- информация о владении иностранными языками, степень владения, предпочитаемый язык общения;
- сведения о навыках и профессиональном опыте, включая сведения об опыте работы с компьютером (уровень владения программами, скорость набора информации);
- профессиональная область;
- специализация;
- сведения о трудовой деятельности и ее результатах, включая перечень обязанностей, сведения о работодателях (месяц и год поступления на работу, месяц и год ухода с работы, занимаемая должность, наименование организации), продвижении по службе, дисциплинарных взысканиях, переходах на новую должность/место работы, причинах увольнения, и стаже работы;
- место работы и занимаемая должность;
- табельный номер/ идентификационный номер/ номер пропуска на территорию работы;
- сведения по учету рабочего времени (время входа и ухода, иные записи об отсутствии на рабочем месте, число проработанных часов и число часов по договору или стандартам отдела, статус отпуска);
- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
- разрешение на работу;
- желаемая должность;
- желаемая зарплата;
- желаемый тип занятости и график работы;
- готовность к командировкам и к переезду;
- информация о рекомендателях (фамилия, имя, отчество, место работы, контактный телефон);
- семейное положение, наличие детей (с указанием количества и возраста);
- сведения о близком родственнике (жена/муж, родители, совершеннолетние дети) (с указанием степени родства (близости), фамилии, имени, отчества, даты рождения, места работы и должности, домашнего адреса и номера телефона для связи);
- сведения финансового характера: оклад, ставка, иные начисления и выплаты, о счетах в банке для начисления заработной платы и иных выплат, сведения о подлежащих уплате и уплачиваемых налогах и страховых взносах во внебюджетные фонды;
- банковские реквизиты;
- номер страхового свидетельства государственного пенсионного страхования (СНИЛС);
- идентификационный номер налогоплательщика (ИНН);
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения о наличии водительского удостоверения (серия, номер), категории и стаже;
- сведения о наличии автомобиля, в том числе служебном (марка, номер);
- сведения о социальных льготах, которые предоставляются в соответствии с законодательством и правовыми актами Российской Федерации;
- сведения о поощрениях и наградах;
- сведения о дисквалификации и лишения права занимать определенную должность, исполнять трудовую функцию;
- сведения о судимости (в случаях, предусмотренных законодательством);
- сведения из материалов внутренних расследований;
- сведения об ограничениях трудовой деятельности по состоянию здоровья, включая сведения об инвалидности (группа, номер и серия справки, срок действия) и сведения о наличии хронических заболеваний;
- сведения о результатах медицинского заключения по результатам медицинского освидетельствования о годности (негодности) работника исполнять трудовые обязанности;
- сведения о результатах тестирования на наличие/отсутствие новой коронавирусной инфекции (COVID-19), включая результаты измерения температуры тела, симптомы недомогания и плохого самочувствия;
- сведения о вакцинации от COVID-19, включая фото сертификата либо иного документа, содержащего подтверждение о вакцинации;
- иные сведения, содержащиеся в трудовом договоре, договоре об индивидуальной, коллективной, материальной ответственности, ученических договорах, договорах оказания услуг;
- сведения о предпочтениях, увлечениях, интересах и хобби;
- сведения о деловых и иных личных качествах оценочного характера;
- сведения о деловых контактах;
- данные паспорта для выезда за рубеж, включая сведения о датах пересечения границ;
- фотографическое изображение;
- видеоизображение;
- запись голоса;
- подпись;
- дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
- Родственники сотрудников:
- фамилия, имя, отчество;
- дата рождения (число, месяц, год);
- вид и данные документа, удостоверяющего личность (серия, номер, когда и каким органом выдан, код подразделения);
- адрес фактического проживания;
- номера телефонов;
- степень родства;
- место работы и занимаемая должность;
- сведения из свидетельства о браке;
- сведения из свидетельства о рождении.
- Специалисты здравоохранения:
- фамилия, имя, отчество;
- дата рождения (число, месяц, год);
- сведения о резидентстве;
- пол;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес фактического проживания/пребывания;
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (уровень образования, форма обучения, наименование учебного заведения, год окончания учебного заведения, наименование и реквизиты документа об образовании, квалификация и специальность по документу об образовании);
- сведения об ученой степени и звании, даты присвоения ученого звания/степени;
- сведения о специальных профессиональных знаниях и навыках;
- сведения о повышении квалификации и прохождении аттестации (номер и дата выдачи удостоверения о прохождении обучения);
- информация о владении иностранными языками, степень владения, предпочитаемый язык общения;
- специальность, дополнительная специальность, классификация, идентификатор;
- сведения о научной деятельности, включая сведения о публикациях и выступлениях (тема доклада, вид и название мероприятия, место и дата проведения);
- сведения о членстве в общественных организациях и ассоциациях, а также сведения о членстве в редакционных коллегиях печатного или электронного издания;
- сведения о трудовой деятельности, ее результатах (год поступления на работу, год ухода с работы, занимаемая должность, наименование организации) и стаже работы;
- сведения о медицинском стаже работы;
- место работы и занимаемая должность;
- номер лицензии;
- семейное положение;
- сведения финансового характера: вид договора, вид авторского договора, начисления и выплаты, сведения о подлежащих уплате и уплачиваемых налогах, отнесение расходов к деятельности ЕНВД, способ отражения в бух. учете, код вычета;
- банковские реквизиты для оплаты услуг/ работ по договору ГПХ (в том числе номер лицевого счета);
- сведения из отчета по раскрытию информации о передаче ценностей;
- номер страхового свидетельства государственного пенсионного страхования (СНИЛС);
- идентификационный номер налогоплательщика (ИНН);
- иные сведения, содержащиеся в договорах оказания услуг;
- данные паспорта для выезда за рубеж, включая сведения о датах пересечения границ;
- фотографическое изображение;
- видеоизображение;
- подпись;
- форма обращения;
- сведения об участии в клинических исследованиях (код исследования, область исследования, фаза исследования, роль/позиция, дата начала и окончания);
- отношение к лекарственным препаратам Оператора;
- данные медицинской практики;
- иные сведения, полученные в ходе взаимодействия с врачом, посредством онлайн-мероприятий;
- запись голоса;
- обезличенные пользовательские данные, предоставляемые интернет-сервисами аналитики (включая: сведения о местоположении; тип и версия ОС; тип и версия браузера; провайдер; посещенные страницы; количество посещений страниц; информация о перемещении по страницам сайта; длительность пользовательской сессии; точки входа пользователя; язык ОС и браузера);
- дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
- Заявители о нежелательных явлениях:
- фамилия, имя, отчество;
- инициалы пациента;
- возраст;
- пол;
- контактная информация (номер телефона, адрес электронной почты);
- категория отправителя;
- сведения о наличии беременности;
- сведения о нежелательных явлениях;
- торговое наименование лекарственного средства/продукта, номер серии, срок годности;
- доза, путь введения;
- дата начала/окончания применения или длительность лечения;
- сведения о приеме других препаратов во время лечения;
- сведения о состоянии здоровья и заболеваниях, а также данные на основании которых можно сделать определённые выводы о здоровье;
- подробное описание реакции.
- Потребители продукции и их законные представители:
- фамилия, имя, отчество;
- адрес фактического проживания, либо адрес для забора образца некачественной продукции;
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- претензии к качеству;
- сведения о здоровье, в случае причинения вреда вследствие недостатков товара;
- обезличенные пользовательские данные, предоставляемые интернет-сервисами аналитики (включая: сведения о местоположении; тип и версия ОС; тип и версия браузера; провайдер; посещенные страницы; количество посещений страниц; информация о перемещении по страницам сайта; длительность пользовательской сессии; точки входа пользователя; язык ОС и браузера);
- дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
- Физические лица — представители юридических лиц, индивидуальные предприниматели:
- фамилия, имя, отчество;
- дата рождения (число, месяц, год);
- пол;
- вид и данные документа, удостоверяющего личность (серия, номер, когда и каким органом выдан, код подразделения);
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- место работы и занимаемая должность;
- наименование и адрес компании;
- идентификационный номер налогоплательщика (ИНН);
- сведения об автомобиле, в том числе служебном (марка, номер);
- подпись;
- дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
7.5. Оператор обрабатывает специальные категории персональных данных при условии письменного согласия соответствующих субъектов персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.
8. Порядок и условия обработки персональных данных
8.1. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных, за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого согласия.
8.2. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие свободно, своей волей и в своем интересе.
8.3. Согласие дается в любой позволяющей подтвердить факт его получения форме. В случаях, предусмотренных законодательством Российской Федерации, согласие оформляется в письменной форме.
8.4. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Оператора почтовым отправлением.
8.5. Обработка персональных данных Оператором осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
8.6. Оператором не принимаются решения, порождающее юридические последствия в отношении субъектов персональных данных или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
8.7. Обработка персональных данных Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), трансграничную передачу, блокирование, удаление, уничтожение персональных данных.
8.8. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.9. В случаях необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Оператор для достижения целей обработки вправе передавать персональные данные уполномоченным третьим лицам.
8.10. Оператор производит трансграничную передачу персональных данных (на территорию иностранного государства иностранному физическому лицу или иностранному юридическому лицу) компаниям, входящим в Группу Компаний Servier, на территории стран Европейского союза.
8.11. Оператором создаются общедоступные источники персональных данных работников Оператора (справочники, адресные книги). Персональные данные, сообщаемые субъектом, включаются в такие источники только с письменного согласия субъекта персональных данных или на основании требований действующего законодательства Российской Федерации.
8.12. Оператор обрабатывает персональные данные субъектов персональных данных, разрешенные для распространения, на основании отдельно полученного согласия субъекта персональных данных на обработку таких персональных данных. Оператор обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
8.13. Оператор установил следующие условия прекращения обработки персональных данных:
- достижение целей обработки персональных данных и максимальных сроков хранения;
- утрата необходимости в достижении целей обработки персональных данных;
- предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- невозможность обеспечения правомерности обработки персональных данных;
- отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
- истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
8.14. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.15. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории РФ.
9. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
9.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
- назначением ответственного лица за организацию обработки персональных данных;
- осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Оператора;
- ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и (или) обучением указанных работников;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
9.2. Обязанности работников Оператора, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в «Положении об организации обработки и об обеспечении безопасности персональных данных» Оператора.
10. Лицо, ответственное за организацию обработки персональных данных
10.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки персональных данных, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и «Положением об организации обработки и об обеспечении безопасности персональных данных».
10.2. Назначение лица, ответственного за организацию обработки персональных данных, и освобождение от указанных обязанностей осуществляется приказом генерального директора Оператора. При назначении лица, ответственного за организацию обработки персональных данных, учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности, предусмотренные «Положением об организации обработки и об обеспечении безопасности персональных данных».
10.3. Лицо, ответственное за организацию обработки персональных данных:
- организует осуществление внутреннего контроля над соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных или обеспечивает доведение;
- осуществляет контроль над приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.
10.4. Контактные данные лица, ответственного за организацию обработки персональных данных: ООО «ЭГИС-РУС», тел. + 7 (495) 363-39-66, Российская Федерация, 121108, г. Москва, ул. Ивана Франко, дом. 8.
11. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
11.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.
11.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами РФ.
11.3. По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта.
11.4. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя,
- сведения о дате выдачи указанного документа и выдавшем его органе,
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором,
- подпись субъекта персональных данных или его представителя.
11.5. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
11.6. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
11.7. В порядке, предусмотренном п. 11.3, субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
11.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия, персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами
- иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
12. Ответственность
12.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.
13. Доступ к Политике
13.1. Действующая редакция Политики на бумажном носителе хранится по адресу: Российская Федерация, 121108, г. Москва, ул. Ивана Франко, дом. 8.
13.2. Электронная версия действующей редакции Политики общедоступна на сайте Оператора в сети «Интернет» по адресу: https://ru.egis.health/politika-konfidentsialnosti.
14. Внесение изменений
14.1. Политика утверждается и вводится в действие генеральным директором Оператора.
14.2. Оператор имеет право вносить изменения в Политику. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
14.3. Политика пересматривается на регулярной основе — один раз в год с момента проведения предыдущего пересмотра Политики. Политика заново утверждается, если по результатам пересмотра в Политику вносятся изменения.
14.4. Политика может пересматриваться и заново утверждаться ранее срока, указанного выше, по мере внесения изменений:
- в нормативные правовые акты в сфере персональных данных;
- в локальные нормативные и индивидуальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности персональных данных.
14.5. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.