Положение об обработке персональных данных ЗАО «БИОКАД»

Положение об обработке персональных данных ЗАО «БИОКАД»

1. Общие положения

В настоящем Положении устанавливаются принципы, цели и стадии обработки персональных данных; состав персональных данных сотрудников Общества, врачей и контрагентов; процесс распространения и предоставления персональных данных третьим лицам; трансграничная передача персональных данных; средства вычислительной техники, используемые для автоматизированной обработки персональных данных; права субъектов персональных данных; обязанности сотрудников Общества, обрабатывающих персональные данные; общие положения по обеспечению безопасности персональных данных; организационные и технические меры по обеспечению безопасности персональных данных.

2. Термины

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор – ЗАО «БИОКАД» (далее – «Общество»).

2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, включая трансграничную передачу), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Организация обработки персональных данных

3.1. Обработка персональных данных осуществляется на основе следующих принципов:

  • законности и справедливости целей и способов обработки персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определённым и заявленным при сборе персональных данных;
  • соответствия объёма и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные.

3.2. Перечень субъектов персональных данных: сотрудники Общества, врачи и контрагенты.

3.3. Персональные данные сотрудников Общества обрабатываются с целью исполнения договорных правоотношений между сотрудником Общества и Обществом (например, осуществление кадрового и бухгалтерского учета; контроля качества исполняемых сотрудником Общества трудовых обязанностей; обеспечения личной безопасности сотрудников Общества; создания внутренних справочников или электронных баз сотрудников Общества; указания персональных данных сотрудников Общества в заявлении о выдаче патента на изобретение, полезную модель, промышленный образец).

3.4. Персональные данные врачей обрабатываются с целью:

  • предоставления научной, медицинской и любой другой информации о заболевании и/или о продукции ЗАО «БИОКАД», а также материалов в письменной, печатной, электронной, аудио-, видео-, устной и любой другой соответствующей форме, посредством электронной почты, обычной или курьерской почты, телефонных звонков, СМС сообщений, сообщений в социальных сетях Интернет, лично и/или любым иным соответствующим способом;
  • приглашения к участию в качестве эксперта, лектора или слушателя на научные, образовательные и иные мероприятия, направленные на повышение квалификации в сфере медицины и фармацевтики (съезды, конференции, круглые столы, форумы и т.д.), а также предоставления информации относительно участия в таких мероприятиях всеми указанными выше способами и во всех указанных выше формах;
  • приглашения к участию в качестве автора научно-методических материалов, научно-исследовательских материалов, научных статей;
  • формирования базы данных лиц, которые предоставили свои персональные данные;
  • обнародования ЗАО «БИОКАД» в средствах массовой информации, информационно-телекоммуникационной сети «Интернет» фотоизображений и видеоизображений врача.

3.5. Персональные данные контрагентов обрабатываются с целью реализации сотрудничества контрагентов и Общества.

3.6. В Обществе используется смешанная обработка персональных данных – автоматизированная и неавтоматизированная обработка персональных данных.

3.7. В Обществе ведется учет лиц, осуществляющих обработку персональных данных в информационной системе персональных данных. Учет и согласование прав доступа к информационной системе персональных данных осуществляется в системе «1C:Итилиум Единая Диспетчерская». Уровень привилегий лиц в процессе предоставления доступа к обработке персональных данных устанавливается в соответствии с занимаемой сотрудником должностью и определяется отдельными внутренними документами Общества.

3.8. Лицо, ответственное за обработку персональных данных, до начала обработки персональных данных в соответствии с требованиями законодательства РФ определяет необходимость направления в уполномоченный орган по защите прав субъектов персональных данных уведомления о намерении Общества осуществлять обработку персональных данных. В случае установления необходимости направления такого уведомления ответственным за его составление, направление, уточнение и изменение является указанное лицо.

3.9. Согласно ст. 22 Федерального закона от «28» июля 2006 г. № 152-ФЗ «О персональных данных» Оператор до начала обработки персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

4. Персональные данные сотрудников Общества

4.1. Персональные данные сотрудников Общества включают в себя:

  • фамилию, имя, отчество;
  • дату и место рождения;
  • паспортные данные;
  • семейное положение;
  • доходы, включающие, например, заработную плату, премиальные выплаты;
  • место жительства;
  • контактную информацию сотрудника и членов его семьи, включающую, например, номер сотового телефона, номер домашнего телефона, адрес электронной почты;
  • информацию о состоянии здоровья, которая обязательно должна быть сообщена сотрудников при приеме на работу согласно законодательству РФ;
  • индивидуальный номер налогоплательщика;
  • номер страхового свидетельства государственного пенсионного страхования;
  • информацию из военного билета;
  • информацию об образовании;
  • номер банковского счета;
  • биометрические персональные данные в виде фотоизображения;
  • иную информацию в предусмотренных законодательством РФ случаях.

4.2. Персональные данные сотрудников Общества обрабатываются на основании существующего трудового договора между сотрудником Общества и Обществом согласно п. 1 ст. 6 Федерального закона от «27» июля 2006 г. № 152-ФЗ «О персональных данных».

4.3. Срок обработки персональных данных сотрудников Общества – в течение срока действия трудового договора для осуществления трудовых правоотношений между сотрудником Общества и Обществом.

4.4. Срок хранения персональных данных сотрудников Общества – в течение реализации целей обработки персональных данных согласно п. 3.3. настоящего Положения. Срок архивного хранения персональных данных по личным делам сотрудников Общества – не менее 75 (семидесяти пяти) лет со дня их создания, если личные дела созданы до 2003 года; не менее 50 (пятидесяти) лет со дня их создания, если личные дела созданы с 2003 года. Срок архивного хранения персональных данных по личным делам руководителей Общества, членов руководящих, исполнительных, контрольных органов Общества – постоянно (п. 656 Приказа Минкультуры России от «25» августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»). Персональные данные сотрудников Общества хранятся в Отделе персонала Общества в личных делах сотрудников Общества в бумажном виде в папках, которые находятся в сейфах, запертых на ключ.

4.5. Полный доступ к персональным данным сотрудников Общества имеют Бухгалтерия Общества, Отдел персонала Общества, Отдел информационной безопасности Общества, Отдел сопровождения информационных систем Общества. Ограниченный доступ к персональным данным сотрудников Общества имеют Финансовая служба Общества, Генеральный директор Общества, иные сотрудники Общества на основании распоряжения Генерального директора Общества.

5. Персональные данные врачей

5.1. Персональные данные врачей включают в себя:

  • фамилию, имя, отчество;
  • дату рождения;
  • паспортные данные;
  • место жительства;
  • контактную информацию, включающую, например, номер сотового телефона, номер домашнего телефона, адрес электронной почты;
  • данные о профессии (место работы; должность; специализация; области профессиональных интересов);
  • иные данные (опыт применения препаратов; существующая клиническая практика; сфера профессиональных, образовательных и научных интересов);
  • биометрические персональные данные в виде фотоизображения или видеоизображения;
  • иную информацию в предусмотренных законодательством РФ случаях.

5.2. Персональные данные врачей обрабатываются на основании полученного согласия на обработку персональных данных согласно п. 1 ст. 6 Федерального закона от «27» июля 2006 г. № 152-ФЗ «О персональных данных».

5.3. Срок обработки персональных данных врачей – в течение неопределенного срока.

5.4. Срок хранения персональных данных врачей – в течение реализации целей обработки персональных данных согласно п. 3.4. настоящего Положения. Персональные данные врачей хранятся в Архиве в Административном департаменте Общества в бумажном виде в канцелярских шкафах с надписью «Конфиденциально», запертых на ключ и опечатанных цифровой пломбой, а также в электронном хранилище E-Storage.

5.5. Полный доступ к персональным данным врачей имеют Отдел информационной безопасности Общества, Административный департамент Общества, Медицинский отдел Общества, Юридический отдел Общества. Ограниченный доступ к персональным данным клиентов Общества имеют руководитель Финансовой службы Общества, Генеральный директор Общества, иные сотрудники Общества на основании распоряжения Генерального директора Общества.

6. Персональные данные контрагентов

6.1. Персональные данные контрагентов включают в себя:

  • фамилию, имя, отчество;
  • дату рождения;
  • паспортные данные;
  • место жительства;
  • место пребывания;
  • контактную информацию, включающую, например, номер сотового телефона, номер домашнего телефона, адрес электронной почты;
  • СНИЛС;
  • ИНН;
  • расчетный счет;
  • иную информацию в предусмотренных законодательством РФ случаях.

6.2. Персональные данные контрагентов обрабатываются на основании полученного согласия на обработку персональных данных согласно п. 1 ст. 6 Федерального закона от «27» июля 2006 г. № 152-ФЗ «О персональных данных».

6.3. Срок обработки персональных данных контрагентов – в течение неопределенного срока.

6.4. Срок хранения персональных данных контрагентов Общества – в течение реализации целей обработки персональных данных согласно п. 3.5. настоящего Положения. Срок архивного хранения персональных данных контрагентов по заключенным с ними договорам – не менее 5 (пяти) лет с 1 января года, следующего за годом окончания их делопроизводства (п. 436 Приказа Минкультуры России от «25» августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»). Персональные данные контрагентов хранятся в Архиве в Административном департаменте Общества в бумажном виде в канцелярских шкафах с надписью «Конфиденциально», запертых на ключ и опечатанных цифровой пломбой.

6.5. Полный доступ к персональным данным контрагентов имеют Отдел информационной безопасности Общества, Административный департамент Общества, Юридический отдел Общества, Отдел персонала Общества. Ограниченный доступ к персональным данным клиентов Общества имеют руководитель Финансовой службы Общества, Генеральный директор Общества, иные сотрудники Общества на основании распоряжения Генерального директора Общества.

7. Отдельные стадии обработки персональных данных

7.1. Процесс сбора персональных данных.

7.1.1. Сбор персональных данных осуществляется Обществом следующими способами:

  • непосредственно у субъекта персональных данных;
  • путем получения персональных данных субъектов от лиц, уполномоченных субъектами персональных данных на исполнение соответствующих действий.

7.1.2. Сбор персональных данных может осуществляться с использованием средств автоматизации или без их использования.

7.1.3. Сбор персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в рамках деятельности Общества не допускается.

7.1.4. В целях информационного обеспечения хозяйственной деятельности Общества могут создаваться внутренние источники персональных данных, в том числе справочники и электронные базы сотрудников Общества, общедоступные сотрудникам Общества. Во внутренние источники персональных данных, общедоступные сотрудникам Общества, могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны, фотоизображение и адрес электронной почты сотрудника Общества. Иные персональные данные сотрудников Общества могут быть включены во внутренние источники персональных данных, общедоступные сотрудникам Общества, непосредственно самими сотрудниками Общества.

7.2. Процесс актуализации персональных данных.

7.2.1. Актуализация персональных данных осуществляется с целью предотвращения совершения ошибочных действий в отношении субъектов персональных данных.

7.2.2. Актуализация персональных данных сотрудников Общества осуществляется Отделом персонала на основании своевременного предоставления сотрудниками Общества информации и в случае необходимости согласно законодательству РФ подтверждающих такую информацию документов. Актуализация персональных данных контрагентов Общества осуществляется отделом Общества, инициировавшим заключение договора с контрагентом, посредством внесения изменений в заключенные договоры с Обществом на основании предоставления уведомлений со стороны контрагентов и в случае необходимости согласно законодательству РФ подтверждающих такую информацию документов. Актуализация персональных данных врачей осуществляется отделом Общества, инициировавшим получение соответствующих персональных врачей, на основании предоставления уведомлений со стороны врачей и в случае необходимости согласно законодательству РФ подтверждающих такую информацию документов.

7.3. Прекращение обработки персональных данных.

7.3.1. Прекращение обработки персональных данных субъекта осуществляется при достижении целей обработки персональных данных или по обращению субъекта персональных данных. При этом процесс обработки персональных данных может осуществляться Обществом и после наступления указанных событий, если такой процесс является обязательным в соответствии с требованиями законодательства РФ.

7.4. Уничтожение персональных данных.

7.4.1. Персональные данные уничтожаются по достижении целей их обработки.

7.4.2. Уничтожение персональных данных субъектов, содержащихся на машинных носителях, производится посредством использования программы для электронно-вычислительных машин «File Shredder».

7.4.3. Уничтожение персональных данных субъектов, содержащихся на бумажных носителях, производится путем уничтожения бумажных носителей с применением бумагорезательных машин.

8. Процесс распространения и предоставления персональных данных третьим лицам

8.1. Передача персональных данных субъектов третьим лицам осуществляется с согласия таких субъектов персональных данных, кроме случаев, предусмотренных законодательством РФ.

8.2. Если Общество на основании договора поручает осуществить обработку персональных данных субъектов третьему лицу, то обязательным условием соответствующего договора должна являться обязанность третьего лица обеспечить безопасность передаваемых персональных данных субъекта персональных данных при их обработке.

8.3. Общество вправе осуществлять трансграничную передачу персональных данных субъектов в случаях, предусмотренных законодательством РФ, на основе соглашений с иностранными организациями, закрепляющими надлежащую защиту персональных данных субъектов.

9. Права субъектов персональных данных

9.1. Субъект персональных данных Общества имеет право:

9.1.1. на получение сведений об Обществе как об Операторе, о месте нахождения Общества, о наличии у Общества персональных данных, относящихся к нему как субъекту персональных данных, и ознакомление с такими персональными данными;

9.1.2. требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если его персональных данных являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной Обществом цели обработки;

9.1.3. принимать предусмотренные законодательством РФ меры по защите своих прав.

9.2. Общество в обязательном порядке рассматривает все запросы субъектов персональных данных, в том числе если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства РФ.

9.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено законодательством РФ, Общество обязано прекратить их обработку или обеспечить прекращение такой обработки, если персональные данные обрабатываются третьими лицами по договору с Обществом.

9.4. В случае, если сохранение персональных данных субъекта более не требуется для целей обработки персональных данных, Общество обязано уничтожить персональные данные субъекта или обеспечить их уничтожение, если персональные данные обрабатываются третьими лицами по договору с Обществом в порядке, установленном законодательством РФ.

10. Обязанности сотрудников Общества, обрабатывающих персональные данные

Сотрудники Общества, обрабатывающие персональные данные субъектов, обязаны:

  • обрабатывать персональные данные субъектов только в рамках выполнения своих должностных обязанностей;
  • не разглашать персональные данные субъектов, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
  • пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных субъектов;
  • выявлять факты разглашения, уничтожения, искажения персональных данных субъектов и информировать об этом Отдел информационной безопасности Общества.

11. Общие положения по обеспечению безопасности персональных данных

11.1. С целью организации процесса обработки персональных данных и контроля соблюдения требований законодательства РФ о персональных данных из числа сотрудников Общества назначается лицо, ответственное за обработку персональных данных субъектов.

11.2. Самостоятельным структурным подразделением Общества, осуществляющим разработку и контроль реализуемых мероприятий по обеспечению безопасности персональных данных субъектов, выступает Отдел информационной безопасности Общества.

11.3. Реализация мероприятий по обеспечению безопасности персональных данных осуществляется Отделом информационной безопасности Общества. При необходимости к работам по защите персональных данных могут привлекаться другие самостоятельные структурные подразделения Общества или контрагенты на договорной основе, обладающие необходимыми документами для осуществления такой деятельности согласно законодательству РФ.

12. Организационные и технические меры по обеспечению безопасности персональных данных

Организационные и технические меры по обеспечению безопасности персональных данных субъектов при их обработке включают в себя:

  • идентификацию и аутентификацию субъектов, ответственных за обработку персональных данных;
  • идентификацию материальных носителей персональных данных и технологических средств обработки персональных данных;
  • управление доступом субъектов, ответственных за обработку персональных данных, к персональным данным посредством использования системы разграничения прав доступа к персональным данным;
  • защиту материальных носителей персональных данных посредством использования, например, системы видеорегистрации, системы контроля доступа в помещения, маркировки, учета в журналах;
  • защиту информационных технологий и технических средств Общества посредством использования, например, серверов, коммутационных оборудований и средств шифрования;
  • регистрацию событий безопасности в журналах событий общесистемного программного обеспечения и прикладного программного обеспечения (приложения, средства защиты);
  • антивирусную защиту материальных носителей персональных данных;
  • программно-аппаратный комплекс обнаружения вторжений в информационную систему Общества;
  • проверку защищенности информационной системы Общества посредством проведения, например, аудита информационной безопасности, внедрения попыток ее взлома;
  • обеспечение доступности персональных данных (например, посредством резервного копирования, создания отказоустойчивых кластеров);
  • защиту систем связи и передачи данных посредством использования программно-аппаратных средств (криптографическая защита);
  • выявление фактов нарушения конфиденциальности персональных данных и реагирование на них;
  • управление конфигурациями информационных систем Общества посредством программных средств.

13. Контроль за соблюдением требований настоящего Положения

Контроль за соблюдением требований настоящего Положения осуществляет Отдел информационной безопасности Общества.

14. Ответственность за несоблюдение требований настоящего Положения

Сотрудники Оператора, виновные в нарушении требований настоящего Положения, могут быть привлечены к материальной ответственности в связи с причинением материального ущерба Оператору, привлечением Оператора к административной или уголовной ответственности в виде штрафа, возмещением Оператором имущественного вреда и морального вреда субъекту персональных данных в результате неправомерных действий такого сотрудника Оператора; дисциплинарной ответственности в виде замечания, выговора, увольнения.

15. Заключительные положения

Ответственность за поддержание требований настоящего Положения в актуальном состоянии и соответствии требованиям законодательства РФ возлагается на руководителя Юридического отдела Общества и начальника Отдела информационной безопасности Общества.