Политика в отношении обработки персональных данных
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных, Закона Республики Казахстан от 21.05.2013 № 94-V «О персональных данных и их защите», Закона Республики Узбекистан от 02.05.2019 № ЗРУ-547 «О персональных данных», Закона Республики Беларусь от 07.05.2021 № 99-ФЗ «О защите персональных данных», Закона Республики Армения от 13.06.2015 № ЗР-49 «О защите личных данных».
1.2. Настоящая Политика определяет основные принципы и порядок обработки персональных данных, а также меры по обеспечению безопасности персональных данных, обрабатываемых Акционерным обществом «Валента Фармацевтика», его представительствами и филиалами (далее − Компания) с целью защиты прав субъектов персональных данных.
1.3. Положения настоящей Политики распространяется на всех работников Компании.
1.4. Настоящая Политика является общедоступной и подлежит размещению на официальном веб-сайте Компании.
1.5. Политика вступает в силу с момента ее утверждения приказом Генерального директора.
2. Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Доступ к персональным данным – возможность получения персональных данных и их использование.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель – бумажный, магнитный, оптический или электронный носитель информации.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, а также действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному физическому или юридическому лицу, или определенному кругу физических или юридических лиц.
Работник – физическое лицо, вступившее в трудовые отношения с Компанией.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
3. Категории субъектов персональных данных и цели обработки персональных данных
3.1. Компания осуществляет обработку персональных данных субъектов персональных данных в целях, определенных в таблице ниже:
№ |
Категория субъектов персональных данных |
Цели обработки персональных данных |
1 |
Работники Компании |
|
2 |
Родственники работников Компании |
|
3 |
Лица, оказывающие услуги по договорам гражданско-правового характера |
|
4 |
Уволенные работники Компании |
|
5 |
Кандидаты на замещение вакантных должностей |
|
6 |
Акционеры и их близкие родственники |
|
7 |
Представители контрагентов |
|
8 |
Посетители Компании |
|
9 |
Посетители веб-сайтов Компани |
|
10 |
Медицинские работники |
|
11 |
Потребители лекарственных средств |
|
4. Принципы обработки персональных данных
4.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:
-
законности целей и способов обработки персональных данных;
-
соответствия состава и объема, а также способов обработки персональных данных заявленным целям обработки;
-
точности и достаточности персональных данных по отношению к завяленным целям;
-
недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
-
уничтожения или обезличивания персональных данных по достижению целей обработки способом, исключающим возможность их восстановления, если срок хранения персональных данных не установлен законодательством;
-
обеспечения конфиденциальности и защищенности персональных данных;
-
обеспечения минимального вовлечения субъектов персональных данных;
-
обеспечения равенства прав субъектов персональных данных и операторов.
5. Условия и способы обработки персональных данных
5.1. Обработка персональных данных в Компании осуществляется только при наличии надлежащего правового основания.
5.2. Трансграничная передача персональных данных осуществляется только на основании согласия субъекта персональных данных.
5.3. В Компании не размещаются персональные данные в общедоступных источниках без письменного согласия субъекта персональных данных.
5.4. Компания не раскрывает, не передает третьим лицам и не распространяет персональные данные без наличия надлежащего правового основания.
5.5. Персональные данные субъектов персональных данных могут быть получены Компанией непосредственно от субъекта персональных данных лично, его законных представителей, которые действуют в интересах субъекта персональных данных или от лица контрагента, который передает персональные данные для исполнения условий договора, заключенного с контрагентом, или поручает Компании обработку персональных данных.
5.6. Компания вправе поручить обработку персональных данных третьим лицам с согласия субъекта персональных данных на основании заключаемого с этими лицами договора поручения на обработку персональных данных.
5.7. Перечень персональных данных, обрабатываемых в Компании, определяется в соответствии с законодательством и локальными нормативными актами Компании с учетом целей обработки персональных данных, указанных в разделе 3 настоящей Политики.
5.8. Компания осуществляет обработку персональных данных следующими способами:
-
автоматизированная обработка персональных данных;
-
неавтоматизированная обработка персональных данных;
-
смешанная обработка персональных данных.
5.9. Компания имеет право:
-
предоставлять персональные данные государственным и иным уполномоченным органам, если это предусмотрено требованиями законодательства;
-
отказывать в предоставлении персональных данных в случаях, предусмотренных требованиями законодательства;
-
обрабатывать персональные данные субъектов персональных данных без согласия в случаях, предусмотренных требованиями законодательства.
5.10. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Компании не осуществляется.
5.11. Компания не осуществляет обработку сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные). Компания не рассматривает фотографическое изображение Субъектов персональных данных, используемое при осуществлении своей деятельности, как биометрические персональные данные.
6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право получить следующую информацию:
-
подтверждение факта обработки его персональных данных Компанией;
-
сведения о правовых основаниях и целях обработки персональных данных;
-
сведения о применяемых Компанией способах обработки персональных данных;
-
сведения о наименовании и местонахождении Компании, а также сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с Компанией или на основании требований законодательств;
-
перечень обрабатываемых персональных данных субъекта персональных данных и информация об источнике их получения, если иной порядок представления таких данных не предусмотрен законодательствами;
-
сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
-
информация об осуществленной или о предполагаемой трансграничной передаче персональных данных;
-
сведения о порядке осуществления субъектом персональных данных прав;
-
фамилия, имя, отчество либо наименование и адрес лица, осуществляющего обработку персональных данных по поручению Компании;
-
возможные правовые последствия, возникающие для субъекта персональных данных вследствие обработки персональных данных.
6.2. Субъект персональных данных в любой момент может отозвать согласие на обработку его персональных данных в любое время. В случае отзыва согласия субъекту персональных данных необходимо направить соответствующее письменное заявление на электронный адрес privacy@valentapharm.com или заказным почтовым отправлением с описью вложения на юридический адрес Компании.
7. Меры по обеспечению зашиты персональных данных
7.1. Меры, необходимые и достаточные для обеспечения выполнения Компанией обязанностей оператора, предусмотренных законодательством в части обработки персональных данных, включают:
-
назначение лица, ответственного за организацию обработки персональных данных, и лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
-
разработка и утверждение внутренних локальных актов по вопросам обработки и защиты персональных данных;
-
применение средств защиты информации;
-
учет материальных носителей персональных данных;
-
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
-
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;
-
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем;
-
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;
-
соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
-
ознакомление работников Компании непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, локальными нормативными актами по вопросам обработки и защиты персональных данных;
-
организация порядка уничтожения информации, содержащей персональные данные.
8. Заключительное положение
8.1. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись в Компанию с помощью электронной почты privacy@valentapharm.com.
8.2. Лица, допущенные к обработке персональных данных, несут персональную ответственность за обеспечение конфиденциальности персональных данных.
8.3. Компания оставляет за собой право вносить изменения в настоящую Политику. В настоящей Политике будут отражены любые изменения, касающиеся обработки персональных данных, осуществляемые Компанией
8.4. Политика подлежит пересмотру не реже одного раза в год.
8.5. Поддержание настоящей Политики в актуальном состоянии возлагается на ответственное лицо за организацию обработки и обеспечение безопасности персональных данных.