Положение об организации обработки персональных данных в ООО «МСД Фармасьютикалс»

Название

Стандартная операционная процедура № 6

«Положение об организации обработки персональных данных в ООО «МСД Фармасьютикалс»

Ключевые требования

Настоящее Положение об организации обработки персональных данных в ООО «МСД Фармасьютикалс» (далее – «Положение») определяет общую политику в отношении обработки персональных данных (далее – «ПДн») в ООО «МСД Фармасьютикалс» (далее – «Общество»).

Цели данного Положения

Настоящее Положение разработано в целях:

  • организации обработки ПДн работников Общества и иных субъектов ПДн, осуществляемой в рамках полномочий Общества как оператора ПДн, а также в случаях, когда обработка ПДн поручена Обществу другим оператором ПДн в соответствии с требованиями действующего законодательства Российской Федерации;

  • обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Все работники Общества, допущенные к обработке ПДн, должны быть ознакомлены с настоящим Положением и любыми изменениями к нему под роспись и должны руководствоваться в своей деятельности настоящим Положением и принятым в соответствии с ним локальными нормативными актами.

Ссылки на глобальные политики и/или законодательный акты

Настоящее Положение разработано с учетом:

  • 1. Нормативно-правовых актов:

    • Конституция Российской Федерации;

    • Трудовой кодекс Российской Федерации;

    • Гражданский кодекс Российской Федерации;

    • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»);

    • Федеральный закон от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств»;

    • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

    • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

    • иные нормативно-правовые акты Российской Федерации, регламентирующие вопросы обработки ПДн фармацевтическими компаниями

  • 2. Глобальных политик MSD:

    • Глобальная политика конфиденциальности в Интернете, доступная по ссылке: (на русском языке);

    • Глобальные правила по обеспечению защиты персональных данных при трансграничной передаче, доступные по ссылке (на русском языке);

Глобальная политика отслеживания в Интернете, доступная по ссылке (на русском языке).

1. ОСНОВНЫЕ ТЕРМИНЫ И СОКРАЩЕНИЯ

  • 1. Следующие употребляемые в настоящем документе термины имеют указанные ниже значения:

    • Автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники.

    • Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

    • Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

    • Глобальные политики / правила / стандарты / процедуры / решения – разработанные и принятые на уровне материнской компании Общества документы, правила или требования, которые применяются к деятельности Общества в части, не противоречащей законодательству Российской Федерации.

    • Кандидат на работу – физическое лицо, направившее Общество или уполномоченному лицу свое резюме или иную информацию с целью вступить в трудовые отношения с Обществом.

    • Контрагент – физическое лицо, в том числе индивидуальный предприниматель, и/или работники, представители, подписанты договоров индивидуальных предпринимателей и/или юридических лиц, действующих как в собственных интересах, так и представляющих интересы третьих лиц, в их отношениях с Обществом в рамках или в связи с предполагаемыми/заключаемыми или заключенными гражданско-правовыми договорами.

    • Конфиденциальность персональных данных – обязанность оператора и иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

    • Материальный носитель – материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде. Обработка означает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных.

    • Общедоступные персональные данные – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн или по его просьбе, включенные в общедоступные источники ПДн с письменного согласия субъекта ПДн или подлежащие опубликованию или обязательному раскрытию в соответствии с действующим законодательством Российской Федерации.

    • Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

    • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    • Работник – физическое лицо, вступившее в трудовые отношения с Обществом.

    • Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

    • Субъекты, субъекты персональных данных – Работники и члены их семей, бывшие Работники, Кандидаты на работу; Контрагенты, потенциальные Контрагенты – физические лица и индивидуальные предприниматели; представители, подписанты договоров от лица Контрагентов, являющихся юридическими лицами, к которым относятся соответствующие ПДн, обрабатываемые Обществом, и иные лица, чьи ПДн обрабатываются Обществом.

    • Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

    • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

    • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор – уполномоченный орган по защите прав субъектов ПДн в Российской Федерации.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • 2.1 Обработка ПДн в Обществе должна осуществляться с соблюдением следующих принципов:

    • Обработка ПДн должна осуществляться на законной и справедливой основе.

    • Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

    • Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

    • Обработке подлежат только ПДн, которые отвечают целям их обработки.

    • Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

    • При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных в соответствии с локально- нормативными актами Общества.

    • Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Цели обработки ПДн определяются генеральным директором Общества и (или) лицом, ответственным за организацию обработки ПДн, и закрепляются в Перечне персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс». Обработка ПДн в целях, которые не были включены в Перечень персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», не допускается, за исключением случаев, когда обязанность осуществлять такую обработку прямо предусмотрена действующим законодательством.

3.2. Обработка ПДн в Обществе может осуществляться исключительно при наличии одного из следующих правовых оснований:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;

  • обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

    • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
    • обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о ПДн при условии обязательного обезличивания ПДн;
    • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;
    • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством Российской Федерации.

3.3. На основаниях пункта 3.1 и полномочий Общества как оператора ПДн, Общество обрабатывает ПДн субъектов следующих категорий:

  • Работников Общества (в том числе уволенных);
  • Родственников Работников Общества;
  • Кандидатов на работу в Обществе;
  • Кандидатов на работу, входящих в кадровый резерв Общества;
  • Контрагентов;
  • Руководителей, работников, представителей и участников/акционеров Контрагентов;
  • Специалистов здравоохранения;
  • Посетителей интернет-сайтов и пользователей мобильных приложений Общества;
  • Зарегистрированных пользователей интернет-сайтов и мобильных приложений Общества;
  • Посетителей офисов и (или) помещений Общества;
  • Иных субъектов, обращающихся в Общество (при необходимости обработки их ПДн для целей выполнения их запросов);
  • Иных категорий субъектов ПДн, указанных в Перечне персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс».

3.4. Перечень персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», формируется лицом, ответственным за организацию обработки ПДн в Обществе, с учетом текущих потребностей и бизнес-процессов Общества и утверждается приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе. Обработка ПДн, которые не были включены в Перечень персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», не допускается, за исключением случаев, когда обязанность осуществлять такую обработку предусмотрена действующим законодательством.

3.5. Принятие решений о внесении изменений в Перечень персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», осуществляется с учетом Правил оценки возможного вреда субъектам ПДн и соответствия указанного вреда с принимаемыми мерами в ООО «МСД Фармасьютикалс», которые утверждаются приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе.

3.6. Перечень лиц, допущенных к обработке персональных данных в ООО «МСД Фармасьютикалс» формируется лицом, ответственным за организацию обработки ПДн в Обществе и утверждается приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе.

3.7. Общество не обрабатывает специальные категории ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, кроме случаев, когда обработка ПДн о состоянии здоровья осуществляется в соответствии с трудовым законодательством, законодательством об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством, а также законодательством об обращении лекарственных средств.

3.8. Общество не обрабатывает биометрические ПДн.

3.9. Общество не принимает решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн.

3.10. Формы письменного согласия на обработку ПДн, а также согласия на обработку ПДн в иной позволяющей подтвердить факт его получения форме устанавливаются локальными нормативными актами Общества или разрабатываются для конкретного случая (при условии последующего одобрения такой формы согласия для конкретного случая лицом, ответственным за организацию обработки ПДн в Обществе).

3.11. В случае возникновения необходимости получения ПДн у третьих лиц, следует заранее известить об этом субъекта персональных данных, получить его согласие и сообщить ему о наименовании и адресе оператора, целях и правовых основаниях, предполагаемых источниках и способах получения ПДн, а также о предусмотренных Законом о персональных данных правах субъекта ПДн.

3.12. В целях организации информационного обеспечения и коммуникаций Общество может создавать и вести такие общедоступные источники ПДн как справочники (списки Работников, некоторых работников Контрагентов), Интернет-сайты и др., в том числе с использованием собственных информационных систем ПДн и информационных систем ПДн, владельцами которых являются иные лица.

3.13. Особенности неавтоматизированной обработки ПДн устанавливаются Правилами обработки персональных данных без использования средств автоматизации в ООО «МСД Фармасьютикалс», которые утверждаются приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе.

3.14. Особенности обработки ПДн в информационных системах ПДн устанавливаются Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных в ООО «МСД Фармасьютикалс» и иными локальными нормативными актами Общества, которые утверждаются приказом генерального директора Общества, лица, ответственного за организацию обработки ПДн в Обществе или лица, ответственного за обеспечение безопасности ПДн при обработке в информационных системах ПДн.

3.15. Перечень информационных систем персональных данных утверждаются приказом генерального директора Общества, лица, ответственного за организацию обработки ПДн в Обществе или лица, ответственного за обеспечение безопасности ПДн при обработке в информационных системах ПДн. Не допускается обработка ПДн с использованием информационных систем, которые не были включены в указанный перечень.

3.16. Перечень мест хранения материальных носителей персональных данных в ООО «МСД Фармасьютикалс» утверждается приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе. В случае необходимости внесения изменений в Перечень мест хранения материальных носителей персональных данных в ООО «МСД Фармасьютикалс» заинтересованное лицо обязано обратиться к лицу, ответственному за организацию обработки ПДн в Обществе, с целью внесения изменений в Перечень мест хранения материальных носителей персональных данных в ООО «МСД Фармасьютикалс». Хранение материальных носителей ПДн в помещениях или иных местах хранения, не включенных в Перечень мест хранения материальных носителей персональных данных в ООО «МСД Фармасьютикалс», не допускается.

3.17. Порядок доступа в помещения, в которых ведется обработка ПДн, а также к местам хранения документов и материальных носителей, содержащих ПДн устанавливается Правилами Стандартная операционная процедура № 6 «Положение об организации обработки персональных данных в ООО «МСД Фармасьютикалс» Утверждена в качестве приложения 1 к приказу № 41-од от 01.08.2018 доступа работников в помещения, в которых ведется обработка персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», а также к местам хранения документов и материальных носителей, содержащих персональные данные, которые утверждаются приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе.

3.18. Сроки обработки и иные условия прекращения обработки ПДн определяются в Перечне персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», который утверждается приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе. Положение об уничтожении персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», утверждается приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе.

3.19. Субъекты ПДн имеют право на получение сведений, указанных в Законе о персональных данных. Субъекты ПДн вправе требовать от Общества уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Правила рассмотрения запросов субъектов персональных данных (включая их представителей) в Обществе утверждаются приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе.

4. ЛОКАЛИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. При сборе ПДн субъектов ПДн, являющихся гражданами Российской Федерации, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

5. ПРОЦЕДУРА ОЦЕНКИ ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПРОЕКТИРУЕМАЯ ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Общество использует Глобальную Процедуру оценки воздействия на защиту персональных данных для выявления потенциальных рисков и внедрении соответствующих контролей при планировании новых бизнес-процессов, в рамках которых осуществляется обработка ПДн, или обновлении существующих бизнес-процессов.

5.2 При проектировании и разработке новых или изменении существующих систем (сайтов, мобильных приложений) или процессов Общество внедряет необходимые организационные и технические меры для обеспечения эффективной защиты ПДн.

6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

  • 6.1 В случаях, предусмотренных Законом о персональных данных, Общество может осуществлять передачу ПДн государственным и муниципальным органам и иным операторам ПДн. В частности, Общество может передавать ПДн следующим органам власти:

    • налоговые органы;
    • таможенные органы;
    • финансовые органы;
    • правоохранительные органы;
    • пограничные органы;
    • миграционные органы;
    • органы экспортного контроля;
    • органы исполнительной власти, уполномоченные в области противодействия техническим разведкам и технической защиты информации;
    • органы исполнительной власти, уполномоченные в области безопасности;
    • органы, осуществляющие функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций;
    • антимонопольные органы;
    • органы исполнительной власти, осуществляющие официальный статистический учет и контроль в сфере официального статистического учета;
    • органы, осуществляющие государственный надзор за соблюдением трудового законодательства;
    • военные комиссариаты и иные органы, осуществляющие воинский учет;
    • органы социальной защиты;
    • органы социального страхования;
    • пенсионные фонды;
    • органы, осуществляющие функции по контролю и надзору в сфере здравоохранения;
    • подразделения муниципальных органов управления.
  • 6.2 Если какие-либо ПДн Работников и (или) работников Контрагентов включены в общедоступные источники ПДн в целях организации информационного обеспечения и коммуникаций Общества, Общество может свободно предоставлять соответствующие ПДн третьим лицам, в том числе для участия Общества в тендерах, при подготовке предложений по продаже товаров, выполнении работ, оказании услуг и в иных случаях в связи с осуществлением хозяйственной деятельности Общества.
  • 6.3 Передача ПДн для обработки иным третьим лицам в иных случаях допускается при одновременном соблюдении следующих условий:

    • Обработка третьим лицом ПДн, предоставленных Обществу субъектом ПДн (его законным представителем), осуществляется при условии, что:

      • есть согласие субъекта ПДн (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями Закона о персональных данных; или
      • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем; или
      • третье лицо, которому передаются ПДн, подтвердит наличие у него иных законных оснований для получения ПДн у Общества и его последующей обработки.
    • Передача ПДн третьему лицу осуществляется только на основании договора, заключенного с Обществом, в котором:

      • определены перечень действий (операций), которые будут осуществляться с ПДн;
      • определены цели обработки ПДн (в случае поручения Обществом третьему лицу осуществлять обработку ПДн);
      • установлена обязанность третьего лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
      • указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона о персональных данных;
      • установлена обязанность третьего лица не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
    • В отношении третьего лица, которому передаются ПДн проведены все необходимые процедуры комплексной проверки, предусмотренные Глобальными процедурами и политиками, а именно:

      • Оценка соблюдений соблюдения требований по обработке персональных данных поставщиком;
      • Оценка рисков информационной безопасности.
  • 6.4 Общество может осуществлять трансграничную передачу ПДн только при условии, что при сборе передаваемых ПДн была обеспечена запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
  • 6.5 Общество может осуществлять трансграничную передачу ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, только в случаях, предусмотренных статьей 12 Закона о персональных данных (например, в случае если имеется согласие субъекта ПДн в письменной форме или, если трансграничная передача осуществляется для исполнения договора с субъектом ПДн).

Ответы на письменные запросы государственных органов и третьих лиц даются в письменной форме на бланке Общества и в том объеме, который позволяет не разглашать избыточный объем ПДн о субъектах ПДн.

7. ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ

  • 7.1 Обработка ПДн Работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности Работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
  • 7.2 Работники и их представители должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки ПДн Работников, а также об их правах и обязанностях в этой области.
  • 7.3 При оформлении трудовых отношений с Работником формируется личное дело Работника, которое хранится в Обществе. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфавитном порядке. Личные дела регистрируются в журнале учета личных дел, который ведется в электронном виде и на бумажном носителе. Ответственным за ведение и хранение личных дел Работников является Руководитель направления кадрового администрирования.
  • 7.4 Личное дело Работника состоит из следующих документов:

    • трудовой договор;
    • личная карточка формы № Т-2;
    • копия трудовой книжки;
    • характеристики, рекомендательные письма;
    • паспорт (копия);
    • документ об образовании (копия);
    • военный билет (копия);
    • свидетельство о регистрации в налоговом органе (ИНН) (копия);
    • пенсионное свидетельство (копия);
    • свидетельство о заключении брака (копия);
    • свидетельство о рождении детей (копия);
    • копия документа о праве на льготы (удостоверение почетного донора, медицинское заключение о признании лица инвалидом, др.);
    • результаты медицинского обследования (в случаях, установленных законодательством);
    • документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, рекомендации, характеристики, и т. д.).
  • 7.5 Личная карточка Работника – документ унифицированной формы № Т-2, который заполняется на основании приказа (распоряжения) о приеме на работу на Работников всех категорий. При поступлении на работу Работник самостоятельно заполняет «Личную карточку работника», содержащую ПДн Работника. При заполнении Работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах. Личная карточка работника ведется на протяжении всей трудовой деятельности Работника. Изменения, вносимые Обществом, должны быть подтверждены соответствующими документами.
  • 7.6 В Обществе кроме личных дел создаются и хранятся следующие документы, содержащие ПДн Работников:

    • трудовые книжки;
    • подлинники и копии приказов (распоряжений) по кадрам;
    • приказы по личному составу;
    • материалы аттестаций и повышения квалификаций работников;
    • материалы внутренних расследований (акты, докладные, протоколы и др.);
    • копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
    • другие.
  • 7.7 Трудовые книжки Работников хранятся в огнеупорных сейфах.
  • 7.8 Кадровые приказы, оригиналы должностных инструкций, табели учета рабочего времени и журналы регистрации хранятся в специальных папках в запираемых ящиках картотеки.
  • 7.9 Работники не должны отказываться от своих прав на сохранение и защиту тайны.
  • 7.10 Если в соответствии с действующим законодательством для обработки ПДн Работника требуется его письменное согласие, то Общество имеет право обрабатывать такие ПДн Работника только после получения его письменного согласия.
  • 7.11 Все ПДн Работника следует получать у него самого. Если ПДн возможно получить только у третьей стороны, то Работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить Работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа Работника дать письменное согласие на их получение.
  • 7.12 Общество имеет право получать и обрабатывать ПДн Работника о его членстве в общественных объединениях или его профсоюзной деятельности, только в случаях, предусмотренных законодательством Российской Федерации.
  • 7.13 При принятии решений, затрагивающих интересы Работника, Общество не имеет права основываться на ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  • 7.14 Защита ПДн Работника от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном законодательством Российской Федерации.
  • 7.15 Работник обязан использовать оборудование или средства связи, принадлежащие или оплачиваемые Обществом, исключительно в целях, предусмотренных локальными нормативными актами Общества. Общество имеет право в любое время извлекать, просматривать и читать любые файлы, документы или сообщения, созданные, отправленные или полученные Работниками с использованием оборудования или средств связи, принадлежащих или оплачиваемых Обществом (которые в этой связи считаются служебными файлами, документами и сообщениями), без дальнейшего уведомления. Общество также вправе обрабатывать сведения о Работниках, полученные посредством систем видеонаблюдения, применяемых у Общества, в отношении вопросов обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности Работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, соблюдения локальных нормативных актов Общества.
  • 7.16 В случае изменения ПДн Работника, в том числе изменения фамилии, имени, отчества, состава семьи, адреса постоянного места жительства (регистрации), адреса временного (фактического) места жительства, номеров контактных телефонов, Работник должен уведомить об этом Общество и представить соответствующие подтверждающие документы в течение 10 (десяти) дней с даты таких изменений.
  • 7.17 Для целей обеспечения прав Работника (в том числе, права на предоставление дополнительных гарантий при увольнении или на запрет увольнения), Работник в те же сроки обязан уведомлять Общество о своем вступлении или выходе из профсоюза, возникновении или прекращении состояния беременности, возникновении или прекращении иного состояния, которое в соответствии с действующим законодательством является условием предоставления Работнику дополнительных гарантий со стороны Общества.
  • 7.18 В целях обеспечения защиты ПДн, хранящихся у Общества, Работники имеют право на:

    • На полную информацию о своих ПДн и обработке этих данных.
    • На свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн Работника, за исключением случаев, предусмотренных законодательством РФ.
    • Требовать об исключении или исправлении неверных или неполных ПДн, а также ПДн, обработанных с нарушением требований, определенных законодательством Российской Федерации. При отказе Общества исключить или исправить ПДн Работника, он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия. Работник имеет право дополнить его ПДн оценочного характера заявлением, выражающим его собственную точку зрения.
    • Требовать об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные ПДн Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
    • Обжаловать в суд любые неправомерные действия или бездействие Общества при обработке и защите его ПДн.
    • Определять своих представителей для защиты своих ПДн.
  • 7.19 После увольнения Работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передается в архив Общества на хранение.
  • 7.20 После увольнения Работника его ПДн хранятся Обществом в течение срока, предусмотренного согласием Работника и (или) трудовым договором Работника. В случае если согласием Работника и (или) трудовым договором Работника не определен срок хранения ПДн уволенного Работника, хранение его ПДн осуществляется в течение срока, установленного законодательством.

8. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. СПЕЦИАЛИСТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • 8.1 Лицо, ответственное за организацию обработки персональных данных, назначается приказом генерального директора Общества, в соответствии со статьей 22.1 Закона о персональных данных.
  • 8.2 Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от генерального директора Общества и подотчетно ему.
  • 8.3 Лицо, ответственное за организацию обработки персональных данных обязано, помимо прочего:

    • осуществлять внутренний контроль за соблюдением Обществом и его Работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
    • доводить до сведения Работников положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
    • организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

8.4 В Обществе назначаются специалисты по защите персональных данных. Специалисты по защите персональных данных являются координаторами по внедрению Глобальной программы по защите персональных данных.

9. ОЦЕНКА СОБЛЮДЕНИЙ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1 Общество проводит оценку и мониторинг соблюдения требований по защите ПДн для обеспечения эффективности защиты ПДн, выявления соответствующих рисков и внедрения технических и организационных механизмов контроля. Общество проводит Самостоятельную оценку соблюдения требований по защите персональных данных, содержащихся в Стандарте внедрения функции по защите персональных данных.

9.1 Самостоятельная оценка соблюдения требований проводится Обществом как минимум раз в год.

9.1 Генеральный директор и высшее руководство Общества совместно со специалистами по защите персональных данных периодически оценивают соблюдение принципов и требований настоящего Положения, включая проверку результатов Самостоятельной оценки соблюдения требований по защите персональных данных и утверждение мер, направленных на улучшение общего уровня защиты ПДн в обществе.

10. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

10.1 Общество обеспечивает наличие достаточных средств контроля и возможностей для обнаружения и сообщения об инцидентах с ПДн. Под инцидентом с ПДн понимается любое нарушение применимых политик и процедур по работе с ПДн, включая случайное или незаконное уничтожение, потерю, изменение ПДн или несанкционированные разглашение или доступ к ПДн.

10.2 При работе с инцидентами с ПДн Общество руководствуется Глобальной стандартной операционной процедурой Отчеты об инцидентах с ПДн.

11. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

11.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, материальную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.