Политика в отношении обработки персональных данных
ООО «Кьези Фармасьютикалс»

 Общие положения

• • Настоящий документ определяет порядок обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в ООО «Кьези Фармасьютикалс» (далее – Компания).
  • Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.
  • Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.
  • Обеспечение неограниченного доступа к настоящей Политике реализуется путем ее публикации на сайте Компании в сети Интернет либо иным способом.
  • Настоящая Политика разработана в соответствии с Конвенцией Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных и Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».
  • Настоящая Политика подлежит актуализации в случаях:
  • изменения законодательства РФ о персональных данных;
  • выявления несоответствий, затрагивающих обработку и (или) защиту ПДн, по результатам контроля выполнения требований по обработке и (или) защите ПДн;
  • по решению руководства Компании.
• Введение
  • В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» Компания является оператором, т.е. юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод человека и гражданина - субъекта персональных данных при обработке его персональных данных.
  • В Компании разработаны и введены в действие локальные нормативные акты и документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.
• Принципы и условия обработки персональных данных в Компании
  • Компания, являясь оператором, осуществляет обработку персональных данных контрагентов Компании – в составе и сроком, необходимыми для заключения, исполнения, изменения и расторжения договора, стороной которого либо выгодоприобретателем по которому является субъект ПДн; проведения и участия в мероприятиях, проводимых Компанией; продвижения товаров и услуг, производимых и предоставляемых Компанией; ведения коммерческих, финансовых, юридических переговоров, направленных на заключение, исполнение, изменение или расторжение любых не запрещенных действующим законодательством договоров, вне зависимости от результатов таких переговоров, проявления должной степени заботливости и осмотрительности при выборе контрагента; достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей.
  • Сроки обработки персональных данных определены с учетом:
• установленных целей обработки персональных данных;
• сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
• сроков хранения документации, установленных внутренними нормативными актами Компании.
  • Компания осуществляет обработку персональных данных на законной и справедливой основе.
  • При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
  • Компания раскрывает ПДн субъектов неограниченному кругу лиц, таким образом, создает общедоступные источники ПДн посредством публикации ПДн на веб-сайте Компании, http://www.chiesi.ru/socialnaya-otvetstvennost/raskrytie-informacii/ в соответствии с необходимыми согласиями субъектов на обработку ПДн.
  • Компания не осуществляет обработку специальных категорий персональных данных.
  • Компания не осуществляет обработку персональных данных о судимости.
  • Компания не осуществляет обработку биометрических персональных данных.
  • Компания не осуществляет трансграничную передачу персональных данных.
  • Компания осуществляет обработку персональных данных в целях продвижения товаров, работ и услуг Компании на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. При этом Компания выполняет все требования к обработке персональных данных в целях продвижения товаров, работ и услуг, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».
  • Компания не осуществляет обработку персональных данных в целях политической агитации.
  • В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
  • Компания поручает обработку персональных данных другим лицам. При этом Компания выполняет все требования к поручению обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».
  • Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет все требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
• Права субъектов персональных данных, обрабатываемых в Компании
  • Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос по адресу: 127015, г. Москва, ул. Вятская, д. 27, стр. 13, в порядке, установленном ст.14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».
  • Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Для реализации указанных требований субъект персональных данных может отправить письменный запрос по адресу: 127015, г. Москва, ул. Вятская, д. 27, стр. 13, в порядке, установленном ст.21 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».
• Исполнение обязанностей оператора Компанией
  • Компания получает персональные данные от субъектов персональных данных, от третьих лиц (лиц, не являющихся субъектами персональных данных) и из общедоступных источников персональных данных (в том числе в информационно-телекоммуникационной сети «Интернет»). При этом Компания выполняет обязанности, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» при сборе персональных данных.
  • Компания прекращает обработку персональных данных в следующих случаях:
• по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;
• по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
• в случае отзыва субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Компанией на основании согласия субъекта персональных данных);
• устранены причины, вследствие которых осуществлялась обработка персональных данных, если иное не установлено федеральным законом;
• в случае ликвидации Компании.
  • В Компании для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:
• назначен Ответственный за организацию обработки персональных данных;
• изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:
  • Положение об обработке персональных данных;
  • Положение об организации и обеспечении защиты персональных данных
  • другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных.
• применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
• осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;
• проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов;
• работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов Компании по вопросам обработки персональных данных.
• В Компании реализуются следующие требования к защите персональных данных:
  • определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применены организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации в случае, если использование таких средств необходимо для нейтрализации актуальных угроз;
  • проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • осуществляется учет машинных носителей персональных данных;
  • осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  • осуществляется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».