1.1.   Настоящее Положение об обработке персональных данных  (далее – «Положение») определяет политику Компании в отношении обработки персональных данных, порядок обработки Компанией персональных данных субъектов (пользователей сайта), включая порядок их сбора, хранения, использования, передачи и защиты.

1.2.   Упорядочение обращения с персональными данными имеет целью обеспечить права и свободы субъектов при обработке персональных данных, сохранение конфиденциальности персональных данных и их защиту.

1.5.   Положение разработано на основе и во исполнение:

a)   Конституции Российской Федерации;

b)   Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (в соответствии с Федеральным законом от 19.12.2005 № 160-ФЗ);

c)   Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

d)   Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

e)    иных нормативных правовых актов Российской Федерации, а также международных актов, ратифицированных Россией.

2.1   В настоящем Положении используются следующие основные понятия  и термины:

a)   Компания или Оператор - Общество с ограниченной ответственностью «Ново Нордиск» ИНН: 7729427770, расположенное по адресу: 121614, г. Москва, ул. Крылатская, д. 15, оф. 41;

b)   Группа компаний - группа юридических лиц, объединенных под брендом глобальной фармацевтической компании «Ново Нордиск» (Дания);

c)   персональные данные - информация, относящаяся к прямо или косвенно определенному или определяемому субъекту (субъекту персональных данных);

d)   субъект персональных данных или субъект - физическое лицо, который является пользователем сайта, к которому относятся обрабатываемые Компанией персональные данные;

e)    обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

f)   автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее;

g)   обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) - действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека;

h)    распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

i)    предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

j)   блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

k)    уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

l) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

m)   трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.1   Компания обрабатывает персональные данные следующих категорий субъектов:

пользователи сайта;

иные субъекты, взаимодействие которых с Оператором создает необходимость обработки персональных данных.

4.1.   Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Компании реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.

4.2.   Персональные данные пользователей сайта могут включать:

a)       фамилия, имя, отчество;

b)      гражданство;

c)       данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;

d)      контактные данные (включая номера рабочего и/или мобильного телефона, электронной почты и др.);

e)      сведения о месте фактического проживания;

f)        должность;

g)       наименование Работодателя;

h)      сведения об адресе местонахождения Работодателя;

i)        сведения о выплатах;

j)        идентификационный номер налогоплательщика;

k)       сведения медицинского характера (в случаях, предусмотренных законодательством);

l)        иные данные, необходимые для исполнения взаимных прав и обязанностей между Компанией и пользователем сайта.

4.3.   Персональные данные иных субъектов включают:

фамилия, имя, отчество;

контактные данные;

иные данные, необходимые для исполнения взаимных прав и обязанностей между Компанией и субъектом.

5.1.   Обработка персональных данных субъектов основывается на следующих принципах:

a)   Обработка персональных данных должна осуществляться на законной и справедливой основе.

b)   Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

c)   Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

d)   Обработке подлежат только персональные данные, которые отвечают целям их обработки.

e)   Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

f)    При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

g)   Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не предусмотрено федеральным законом или договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.1.   Обработка персональных данных субъектов персональных данных осуществляется c целью предоставления доступа субъектам к Сайту Компании, а именно для:

a)       предоставления информации о продукции Компании;

b)      проведения мероприятий и обеспечения участия в них субъектов персональных данных;

c)       предоставление медико-научной, справочно-информационной и иной информации от Компании;

d)      обработки обращений с претензиями и информацией по безопасности продуктов;

e)      обработки обращений о негативных явлениях и побочных эффектах;

f)        осуществления мониторинга эффективности и безопасности лекарственных средств;

g)       осуществления и выполнения функций, полномочий и обязанностей, возложенных на Компанию законодательством РФ и международными договорами РФ;

h)      исполнения требований Фармаконадзора, в частности ст. 64 Федерального закона от 12.04.2010 №61-ФЗ «Об обращении лекарственных средств»;

i)        иные цели, направленные на обеспечение соблюдения интересов Компании и требований законов и иных нормативных правовых актов.

6.2.   Персональные данные обрабатываются исключительно для достижения указанной законной цели. Для использования  данных в других целях необходимо поставить в известность об этом субъекта персональных данных и, в случае необходимости, получить новое согласие на обработку.

6.3.   Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.

7.1.   Общие правила

7.1.1.      Обработка персональных данных  осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе, с использованием внутренней сети и сети Интернет.

7.1.2.      В случаях, установленных законодательством РФ, основным условием обработки персональных данных является получение согласие соответствующего субъекта персональных данных, в том числе, в письменной форме.

7.1.3.      Согласие субъекта персональных данных на обработку его персональных данных должно как минимум включать в себя:

a)   фамилию, имя, отчество;

b)   фамилию, имя, отчество представителя субъекта персональных данных;

c)   наименование и адрес Компании, получающей согласие субъекта персональных данных;

d)   цель обработки персональных данных;

e)   перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

f)   перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

g)   срок, в течение которого действует согласие, а также порядок его отзыва;

i)    личная подпись или ее аналог субъекта персональных данных.

7.1.4.      В случаях, когда требуется согласие субъекта персональных данных на обработку персональных данных, но не требуется согласие в письменной форме, субъект персональных данных может предоставить согласие средствами электронной связи, Интернет, по электронной почте или по факсу.

7.2.   Сбор

7.2.1.      Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

7.2.2.      Если иное не установлено законом, Компания вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.

7.2.3.      Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:

a)   наименование Оператора и адрес его местонахождения,

b)   цель обработки персональных данных и ее правовое основание,

c)   предполагаемые пользователи персональных данных,

d)   установленные законом права субъекта персональных данных,

e)   источник получения персональных данных.

7.3.   Хранение

7.3.1.      При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.

7.3.2.      Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Компанией в рамках организации в целом.

7.3.3.      Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Компанией информационных систем и специально обозначенных Компанией баз данных (внесистемное хранение персональных данных) не допускается.

7.3.4.      Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством РФ или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.3.5.      Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

7.3.6.      Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).

7.3.7.      При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

7.4.   Использование

7.4.1.      Персональные данные обрабатываются и используются для цели, указанной в п. 6.1 Положения.

7.4.2.      Доступ к персональным данным предоставляется только тем лицам, обязанности которых предполагают работу с соответствующими персональными данными, и только на период, необходимый для работы с  данными.

7.5.   Передача

7.5.1.      Передача персональных данных субъектов третьим лицам допускается в минимально необходимых  объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

7.5.2.      Передача персональных данных третьим лицам, в том числе, в коммерческих целях, допускается только при наличии согласия субъекта, либо иного законного основания.

7.5.3.      При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законом, в частности, если:

a)   субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором, который получил от Компании соответствующие данные;

b)   персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

c)   персональные данные обрабатываются для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

7.5.4.      Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

7.5.5.      Передача информации, содержащей персональные данные, может осуществляться на территории иностранных государств (трансграничная передача), в том числе на территории государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. Такая передача осуществляется в соответствии с требованиями и правилами, предусмотренными законодательством РФ для трансграничной передачи персональных данных.

7.5.6.      Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Компания вправе требовать от этих лиц подтверждение того, что это правило соблюдено.

7.5.7.      В случаях, когда государственные органы имеют право запросить персональные данные, или персональные данные должны быть предоставлена в силу закона, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством РФ.

7.5.8.      Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в Компании, для предварительного рассмотрения и согласования.

7.6.   Поручение обработки

7.6.1.      Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законодательством.

7.6.2.      В договоре с лицом, осуществляющим обработку персональных данных по поручению Компании, данных должны быть определены:

a)   перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;

b)   цели обработки;

c)   обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями федерального законодательства и ответственность за несоблюдение таких требований.

7.7.   Защита

7.7.1.      Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

a)   обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

b)   соблюдение конфиденциальности информации ограниченного доступа;

c)   реализацию права на доступ к информации.

7.7.2.      Для защиты персональных данных Компания принимает необходимые предусмотренные законом меры, включая, но не ограничиваясь:

a)   ограничивает и регламентирует круг лиц, обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе, путем использования паролей доступа к электронным информационным ресурсам);

b)   обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;

c)   организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;

d)   контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе, установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);

e)   проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

f)    внедряет программные и технические средства защиты информации в электронном виде;

g)   обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним; и др.

7.7.3.      Для защиты персональных данных при их обработке в информационных системах Компания проводит необходимые предусмотренные законом мероприятия, включая, но не ограничиваясь:

a)   определение угроз безопасности персональных данных при их обработке;

b)   применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

c)   учет машинных носителей персональных данных;

d)   обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

e)   восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

f)    установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

7.7.4.      В Компании назначены лица, ответственные за организацию обработки персональных данных.

7.7.5.      В Компании принимаются иные меры, направленные на обеспечение выполнения Компанией обязанностей в сфере персональных данных, предусмотренных действующим законодательством РФ.

8.1.   Субъекты персональных данных вправе:

a)   иметь доступ к своим персональным данным;

b)   отозвать согласие на обработку их персональных данных;

c)   изменять, уточнять, уничтожать и блокировать свои персональные данные;

d)   получать информацию, касающуюся обработки своих персональных данных;

e)   обжаловать неправомерные действия или бездействия при обработке персональных данных и требовать соответствующей компенсации в суде в порядке, предусмотренном законом;

f)    определять представителей для защиты своих персональных данных и представительства своих интересов в порядке, предусмотренном законом;

g)   защищать свои права и законные интересы в области персональных данных;

h)   осуществлять иные права, предусмотренные закон, иными нормативными правовыми актами и локальными нормативными актами Филиала в области обработки и защиты персональных данных.

8.2.   Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

8.3.   Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.

8.4.   Субъект персональных данных обязан:

a)   предоставлять Компании достоверные персональные данные;

b)   своевременно сообщать Компании об изменениях и дополнениях своих персональных данных;

c)   осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных;

d)   исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных.

9.1.   Компания вправе:

a)   устанавливать правила обработки персональных данных в Компании, вносить изменения и дополнения в Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора;

b)   осуществлять иные права, предусмотренные закон, иными нормативными правовыми актами и локальными нормативными актами Филиала в области обработки и защиты персональных данных.

9.2.   Компания обязана:

a)   обеспечивать обработку персональных данных исключительно в целях, для которых они были собраны;

b)   получать от субъекта персональных данных согласие на обработку его персональных данных, в том числе в письменной форме, в случаях, установленных законодательством РФ;

c)   обрабатывать специальные категории персональных данных только с письменного согласия субъекта персональных данных, если иное не предусмотрено законом;

d)   защищать персональные данные от их неправомерного использования или утраты;

e)   исполнять иные обязанности, предусмотренные законодательством РФ и локальными нормативными актами Компании в области обработки и защиты персональных данных.

10.1.   Компания несет установленную федеральными закона ответственность за нарушение законодательства РФ в области обработки и защиты персональных данных.

10.2.   В случае если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией на основании заключенного с ней договора.