Положение об обработке и защите персональных данных

 

Положение об обработке и защите персональных данных

ООО «Ново Нордиск»

1.     Общие положения

1.1.   Настоящее Положение об обработке и защите персональных данных  (далее – «Положение») определяет политику Компании в отношении обработки персональных данных, порядок обработки Компанией персональных данных лиц, не являющихся ее работниками, включая порядок их сбора, хранения, использования, передачи и защиты.

1.2.   Упорядочение обращения с персональными данными имеет целью обеспечить права и свободы граждан при обработке персональных данных, сохранение конфиденциальности персональных данных и их защиту.

1.3.   Положение и изменения к нему утверждаются Генеральным директором и вводятся в действие соответствующим приказом.

1.4.   Положение является локальным нормативным актом Компании, обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Положением.

1.5.   Положение разработано на основе и во исполнение:

a)   Конституции Российской Федерации;

b)   Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (в соответствии с Федеральным законом от 19.12.2005 № 160-ФЗ);

c)   Трудового кодекса Российской Федерации;

d)   Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

e)   Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

f)    иных нормативных правовых актов Российской Федерации, а также международных актов, ратифицированных Россией.

2.     Основные понятия

2.1   В настоящем Положении используются следующие основные понятия  и термины:

a)   Компания или Оператор - Общество с ограниченной ответственностью «Ново Нордиск» ИНН: 7729427770, расположенное по адресу: 121614, г. Москва, ул. Крылатская, д. 15, оф. 41;

b)   Филиал - Филиал ООО «Ново Нордиск» в городе Калуге как обособленное структурное подразделение ООО «Ново Нордиск», расположенное по адресу: 248009, г. Калуга, 2-ой Автомобильный пр-д, д. 1;

c)   Группа компаний - группа юридических лиц, объединенных под брендом глобальной фармацевтической компании «Ново Нордиск» (Дания); 

d)   персональные данные - информация, относящаяся к прямо или косвенно определенному или определяемому субъекту (субъекту персональных данных);

e)   субъект персональных данных или субъект - физическое лицо, не являющееся работником Компании, к которому относятся обрабатываемые Компанией персональные данные;

f)    обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

g)   автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее;

h)   обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) - действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека;

i)    распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

j)    предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

k)   блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

l)    уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

m) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

n)   трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.     Категории субъектов персональных данных

3.1   Компания обрабатывает персональные данные следующих категорий субъектов:

  • родственники работников;
  • кандидаты на рабочие места;
  • работники и иные представители юридических лиц Группы компаний;
  • работники и иные представители контрагентов – юридических лиц;
  • контрагенты – физические лица;
  • потребители;
  • иные субъекты, взаимодействие которых с Оператором создает необходимость обработки персональных данных.

4.     Содержание и объем персональных данных

4.1.   Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Компании реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.

4.2.   Персональные данные родственников работников включают:

  • фамилия, имя, отчество;
  • дата рождения;
  • гражданство;
  • паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
  • сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
  • сведения о регистрации по месту жительства (включая адрес, дату регистрации);
  • сведения о месте фактического проживания;
  • номер и серия свидетельства государственного пенсионного страхования;
  • сведения медицинского характера (в случаях, предусмотренных законодательством);
  • сведения о социальных льготах и выплатах;
  • контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.);
  • иные данные, необходимые для реализации Компанией взятых на себя обязательств перед родственниками работников.

4.3.   Персональные данные кандидатов на рабочие места включают:

  • фамилия, имя, отчество (а также все предыдущие фамилии);
  • дата и место рождения;
  • гражданство;
  • паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
  • данные свидетельства о рождении (номер, дата выдачи, наименование органа, выдавшего документ, и др.);
  • пол;
  • сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
  • сведения о регистрации по месту жительства (включая адрес, дату регистрации);
  • сведения о месте фактического проживания;
  • номер и серия свидетельства государственного пенсионного страхования;
  • данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
  • идентификационный номер налогоплательщика;
  • сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
  • специальность, профессия, квалификация;
  • сведения о воинском учете;
  • сведения медицинского характера (в случаях, предусмотренных законодательством);
  • биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
  • сведения о социальных льготах и выплатах;
  • контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
  • сведения о награждениях и поощрениях;
  • сведения, предоставленные самим кандидатом в ходе заполнения личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
  • иные данные, которые могут быть указаны в резюме или анкете кандидата.

4.4.   Персональные данные работников и иных представителей юридических лиц Группы компаний включают:

  • фамилия, имя, отчество (а также все предыдущие фамилии);
  • дата рождения;
  • гражданство;
  • паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
  • данные виз и иных документов миграционного учета;
  • пол;
  • корпоративные инициалы;
  • сведения о месте пребывания;
  • биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
  • сведения о социальных льготах и выплатах;
  • контактные данные (включая номера рабочего и/или мобильного телефона, электронной почты и др.);
  • иные данные, необходимые для  исполнения взаимных прав и обязанностей между юридическими лицами Группы компаний.

4.5.   Персональные данные работников и иных представителей контрагентов – юридических лиц включают:

  • фамилия, имя, отчество;
  • паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
  • сведения о регистрации по месту жительства (включая адрес, дату регистрации);
  • контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.);
  • должность;
  • иные данные, необходимые для исполнения взаимных прав и обязанностей между Компанией и контрагентом.

4.6.   Персональные данные контрагентов – физических лиц включают:

  • фамилия, имя, отчество;
  • гражданство;
  • паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
  • сведения о регистрации по месту жительства (включая адрес, дату регистрации);
  • номер и серия свидетельства государственного пенсионного страхования;
  • данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
  • реквизиты банковского счета;
  • идентификационный номер налогоплательщика;
  • специальность, профессия, квалификация;
  • контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
  • данные свидетельства о регистрации права собственности;
  • иные данные, необходимые для исполнения взаимных прав и обязанностей между Компанией и контрагентом.

4.7.   Персональные данные потребителей включают:

  • фамилия, имя, отчество;
  • контактные данные.
  • дата рождения;
  • пол;
  • рост, вес;
  • состояние здоровья;
  • история заболевания;
  • иные данные, необходимые для регистрации и анализа обращения.

4.8.   Персональные данные иных субъектов включают:

  • фамилия, имя, отчество;
  •  контактные данные;
  • иные данные, необходимые для исполнения взаимных прав и обязанностей между Компанией и субъектом.

5.     Принципы обработки

5.1.   Обработка персональных данных субъектов основывается на следующих принципах:

a)   Обработка персональных данных должна осуществляться на законной и справедливой основе.

b)   Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

c)   Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

d)   Обработке подлежат только персональные данные, которые отвечают целям их обработки.

e)   Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

f)    При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

g)   Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не предусмотрено федеральным законом или договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.     Цели обработки

6.1.   Обработка персональных данных субъектов персональных данных осуществляется в следующих целях:

  • осуществление и выполнение функций, полномочий и обязанностей, возложенных на Компанию законодательством РФ и международными договорами РФ;
  • исполнение требований Фармаконадзора, в частности ст. 64 Федерального закона от 12.04.2010 №61-ФЗ «Об обращении лекарственных средств»;
  • предоставление родственникам работников льгот и компенсаций;
  • организация медицинского и иного страхования работника и его родственников;
  • выявление конфликта интересов;
  • рассмотрение возможности трудоустройства кандидатов;
  • ведение кадрового резерва;
  • организация предварительных медицинских осмотров кандидатов;
  • проверка кандидатов (в том числе их квалификации и опыта работы);
  • организация и сопровождение деловых поездок;
  • проведение мероприятий и обеспечение участия в них субъектов персональных данных;
  • обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
  • выпуск доверенностей и иных уполномочивающих документов;
  • ведение переговоров, заключение и исполнение договоров;
  • проверка контрагента;
  • реклама и продвижение продукции, в том числе предоставление информации о продукции Компании;
  • исполнение обязанности налогового агента;
  • обработка обращений с претензиями и информацией по безопасности продуктов;
  • обработка обращений о негативных явлениях и побочных эффектах;
  • проведение клинических исследований;
  • осуществление мониторинга эффективности и безопасности лекарственных средств;
  • иные цели, направленные на обеспечение соблюдения трудовых договоров, законов и иных нормативных правовых актов.

6.2.   Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность об этом субъекта персональных данных и, в случае необходимости, получить новое согласие на обработку.

6.3.   Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.

7.     Правила обработки

7.1.   Общие правила

7.1.1.      Обработка персональных данных  осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе, с использованием внутренней сети и сети Интернет.

7.1.2.      В случаях, установленных законодательством РФ, основным условием обработки персональных данных является получение согласие соответствующего субъекта персональных данных, в том числе, в письменной форме.

7.1.3.      Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:

a)   фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

b)   фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

c)   наименование и адрес Компании, получающей согласие субъекта персональных данных;

d)   цель обработки персональных данных;

e)   перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

f)    наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании;

g)   перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

h)   срок, в течение которого действует согласие, а также порядок его отзыва;

i)    подпись субъекта персональных данных.

7.1.4.      Согласие субъекта на обработку его персональных данных не требуется в следующих случаях:

a)   обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

b)   обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

c)   обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

d)   в иных случаях, установленных законом.

7.1.5.      В случаях, когда требуется согласие субъекта персональных данных на обработку персональных данных, но не требуется согласие в письменной форме, субъект персональных данных может предоставить согласие средствами электронной связи, Интернет, по электронной почте или по факсу.

7.2.   Сбор

7.2.1.      Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

7.2.2.      Если иное не установлено законом, Компания вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.

7.2.3.      Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:

a)   наименование Оператора и адрес его местонахождения,

b)   цель обработки персональных данных и ее правовое основание,

c)   предполагаемые пользователи персональных данных,

d)   установленные законом права субъекта персональных данных,

e)   источник получения персональных данных.

7.2.4.      Компания может собирать и обрабатывать видеоизображения субъектов персональных данных, полученные с помощью камер системы видеонаблюдения, расположенных на территории и в помещениях Компании (в том числе на территории и в помещениях Филиала). При этом субъекты персональных данных информируются о системе видеоконтроля путем размещения специальных информационных табличек в зонах видимости видеокамер.

7.3.   Хранение

7.3.1.      При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.

7.3.2.      Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Компанией в рамках организации в целом и Филиала в частности.

7.3.3.      Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Компанией информационных систем и специально обозначенных Компанией баз данных (внесистемное хранение персональных данных) не допускается.

7.3.4.      Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством РФ или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.3.5.      Сроки хранения персональных данных субъекта определяются, в том числе, в соответствии с Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства и нормативных документов.

7.3.6.      Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

7.3.7.      Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).

7.3.8.      При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

7.4.   Использование

7.4.1.      Персональные данные обрабатываются и используются для целей, указанных в п. 6.1 Положения.

7.4.2.      Доступ к персональным данным предоставляется только тем работникам Компании, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. Перечень таких лиц определяется Компанией в рамках организации в целом и Филиала в частности.

7.4.3.      В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению Генерального директора или иного лица, уполномоченного на это Генеральным директором. Соответствующие работники должны быть ознакомлены под роспись со всеми локальными нормативными актами Компании в области персональных данных, а также должны подписать обязательство неразглашения персональных данных.

7.4.4.      Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе, путем ознакомления с настоящим Положением) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящим Положением.

7.4.5.      Работникам Компании, не имеющие надлежащим образом оформленного допуска, доступ к персональным данным запрещается.

7.4.6.      При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

7.4.7.      Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

7.5.   Передача

7.5.1.      Передача персональных данных субъектов третьим лицам допускается в минимально необходимых  объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

7.5.2.      Передача персональных данных третьим лицам, в том числе, в коммерческих целях, допускается только при наличии согласия субъекта, либо иного законного основания.

7.5.3.      При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законом, в частности, если:

a)   субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором, который получил от Компании соответствующие данные;

b)   персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

c)   персональные данные обрабатываются для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

7.5.4.      Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

7.5.5.      Передача информации, содержащей персональные данные, может осуществляться на территории иностранных государств (трансграничная передача), в том числе на территории государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. Такая передача осуществляется в соответствии с требованиями и правилами, предусмотренными законодательством РФ для трансграничной передачи персональных данных.

7.5.6.      Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Компания вправе требовать от этих лиц подтверждение того, что это правило соблюдено.

7.5.7.      В случаях, когда государственные органы имеют право запросить персональные данные, или персональные данные должны быть предоставлена в силу закона, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством РФ.

7.5.8.      Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в Компании (в Филиале), для предварительного рассмотрения и согласования.

7.6.   Поручение обработки

7.6.1.      Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законодательством.

7.6.2.      В договоре с лицом, осуществляющим обработку персональных данных по поручению Компании, данных должны быть определены:

a)   перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;

b)   цели обработки;

c)   обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями федерального законодательства и ответственность за несоблюдение таких требований.

7.7.   Защита

7.7.1.      Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

a)   обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

b)   соблюдение конфиденциальности информации ограниченного доступа;

c)   реализацию права на доступ к информации.

7.7.2.      Для защиты персональных данных Компания принимает необходимые предусмотренные законом меры, включая, но не ограничиваясь:

a)   ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе, путем использования паролей доступа к электронным информационным ресурсам);

b)   обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;

c)   организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;

d)   контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе, установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);

e)   проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

f)    внедряет программные и технические средства защиты информации в электронном виде;

g)   обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним; и др.

7.7.3.      Для защиты персональных данных при их обработке в информационных системах Компания проводит необходимые предусмотренные законом мероприятия, включая, но не ограничиваясь:

a)   определение угроз безопасности персональных данных при их обработке;

b)   применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

c)   учет машинных носителей персональных данных;

d)   обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

e)   восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

f)    установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

7.7.4.      В Компании назначены лица, ответственные за организацию обработки персональных данных.

7.7.5.      В Компании принимаются иные меры, направленные на обеспечение выполнения Компанией обязанностей в сфере персональных данных, предусмотренных действующим законодательством РФ.

8.     Права и обязанности субъектов персональных данных

8.1.   Субъекты персональных данных вправе:

a)   иметь доступ к своим персональным данным;

b)   отозвать согласие на обработку их персональных данных;

c)   изменять, уточнять, уничтожать и блокировать свои персональные данные;

d)   получать информацию, касающуюся обработки своих персональных данных;

e)   обжаловать неправомерные действия или бездействия при обработке персональных данных и требовать соответствующей компенсации в суде в порядке, предусмотренном законом;

f)    определять представителей для защиты своих персональных данных и представительства своих интересов в порядке, предусмотренном законом;

g)   защищать свои права и законные интересы в области персональных данных;

h)   осуществлять иные права, предусмотренные закон, иными нормативными правовыми актами и локальными нормативными актами Филиала в области обработки и защиты персональных данных.

8.2.   Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

8.3.   Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.

8.4.   Субъект персональных данных обязан:

a)   предоставлять Компании достоверные персональные данные;

b)   своевременно сообщать Компании об изменениях и дополнениях своих персональных данных;

c)   осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных;

d)   исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных.

9.     Права и обязанности Компании

9.1.   Компания вправе:

a)   устанавливать правила обработки персональных данных в Компании, вносить изменения и дополнения в Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора;

b)   осуществлять иные права, предусмотренные закон, иными нормативными правовыми актами и локальными нормативными актами Филиала в области обработки и защиты персональных данных.

9.2.   Компания обязана:

a)   обеспечивать обработку персональных данных исключительно в целях, для которых они были собраны;

b)   получать от субъекта персональных данных согласие на обработку его персональных данных, в том числе в письменной форме, в случаях, установленных законодательством РФ;

c)   обрабатывать специальные категории персональных данных только с письменного согласия субъекта персональных данных, если иное не предусмотрено законом;

d)   защищать персональные данные от их неправомерного использования или утраты;

e)   исполнять иные обязанности, предусмотренные законодательством РФ и локальными нормативными актами Компании в области обработки и защиты персональных данных.

9.3.   Работники Компании, допущенные к  персональным данным, обязаны:

a)   соблюдать и исполнять требования настоящего Положения и законодательства РФ в области персональных данных, в том числе, относящиеся к обязанностям Компании, действуя от ее имени;

b)   сохранять конфиденциальность персональных данных, полученных в связи с исполнением своих трудовых обязанностей;

c)   незамедлительно сообщать своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных в Компании (в Филиале), обо всех фактах нарушения конфиденциальности персональных данных или об обстоятельствах, создающих угрозу их разглашения, в том числе, об утрате (хищении) материальных носителей персональных данных (бумажных документов, дисков, флэш-накопителей и др.);

d)   по всем вопросам, связанным с настоящим Положением обращаться к своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных в Компании (в Филиале).

9.4.   Каждый работник, допущенный к работе с персональными данными, несет персональную ответственность за конфиденциальность полученных данных.

10.  Ответственность

10.1.   Компания несет установленную федеральными закона ответственность за нарушение законодательства РФ в области обработки и защиты персональных данных.

10.2.   В случае если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией на основании заключенного с ней договора.

10.3.   Работники и иные лица, виновные в нарушении настоящего Положения, а также законодательства РФ в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.