Политика Обработки персональных данных АО «БИОКАД»

1. Основные положения

1.1 Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) Акционерного общества «БИОКАД» (ИНН 5024048000, ОГРН 1025002867196, адрес места нахождения: 198515,г.Санкт-Петербург, вн.тер. г. поселок Стрельна, ул. Связи, д. 38, стр. 1, помещ. 89, далее по тексту – АО «БИОКАД»/Оператор/Компания/Работодатель) разработана в целях соблюдения законодательства Российской Федерации, регулирующего отношения, связанные с обработкой и обеспечением безопасности персональных данных (далее – также «ПДн»).

1.2 Задачами настоящей Политики являются соблюдение принципов законности, справедливости и конфиденциальности при обработке ПДн, а также обеспечение безопасности процессов их обработки.

1.3 Настоящая Политика:

1.3.1. определяет общие принципы обработки ПДн и меры по обеспечению их безопасности в АО «БИОКАД» с целью защиты прав и свобод субъектов ПДн;

1.3.2. является общедоступным локальным нормативным актом и описывает основные направления деятельности АО «БИОКАД» при обработке ПДн, и подлежит размещению на официальном сайте АО «БИОКАД» (https://biocad.ru);

1.3.3. подлежит пересмотру и дополнению в случае изменения законодательства, специальных нормативных документов в области обработки и защиты ПДн, но не реже одного раза в три года.

1.4 Настоящая Политика обязательна к применению всеми работниками АО «БИОКАД» вне зависимости от их должности, с момента введения Политики в действие. Другие локальные нормативные акты в области организации и защиты ПДн в АО «БИОКАД» не должны противоречить настоящей Политике.

1.5 Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в АО «БИОКАД.

1.6 Ответственный за организацию обработки ПДн в АО «БИОКАД» назначается приказом Генерального директора.

1.7 Работники АО «БИОКАД» должны быть ознакомлены с настоящей Политикой под подпись. Факт ознакомления подтверждается подписью Работника в листе ознакомления.

1.8 Термины, используемые в настоящей Политике, приведены по тексту п. 2 Политики. В случае отсутствия в п.2 Политики используемого термина толкование и применение термина при необходимости осуществляется в соответствии с положениями применимых нормативных правовых актов Российской Федерации. При использовании в тексте Политики определенного термина, идентичного указанному в п. 2 Политики, но написанного с маленькой буквы («персональные данные», «обработка персональных данных», иное), такому термину тем не менее придается соответствующее значение, указанное в п. 2 Политики.

2. Термины и обозначения

2.1 АО «БИОКАД» – Акционерное общество «БИОКАД».

2.2 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.3 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.4 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.5 Корпоративный почтовый клиент – почтовый клиент для работы с персональной рабочей электронной почтой;

2.6 Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

2.7 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.8 Оператор – государственный, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. По тексту настоящей Политики под Оператором понимается АО «БИОКАД»;

2.9 Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

2.10 Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством;

2.11 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.12 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных);

2.13 Работник – физическое лицо, вступившее в трудовые отношения с АО «БИОКАД»;

2.14 Специальные категории персональных данных – категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

2.15 Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

2.16 Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

2.17 Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Правовые основания обработки ПДн

3.1 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

3.2 Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

3.3 Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

3.4 Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;

3.5 Гражданский кодекс Российской Федерации от 30.11.1994 № 51-ФЗ;

3.6 Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;

3.7 Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";

3.8 Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации;

3.9 Федеральный закон от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств»;

3.10 Иные нормативные правовые акты Российской Федерации и нормативные документы в области деятельности Оператора;

3.11 Учредительные документы АО «БИОКАД»;

3.12 Локальные нормативные акты АО «БИОКАД»;

3.13 Договоры, заключаемые между Оператором и субъектом ПДн;

3.14 Согласие субъектов на обработку их ПДн.

4. Цели обработки, категории ПДн и категории субъектов ПДн

4.1 Оператор обрабатывает ПДн следующих категорий субъектов ПДн (далее-субъекты):

4.1.1 Работники;

4.1.2 Работники аффилированных компаний АО «БИОКАД»;

4.1.3 Родственники Работников;

4.1.4 Работники Компании, трудовые отношения с которыми прекращены;

4.1.5 Кандидаты (соискатели) на замещение вакантных должностей;

4.1.6 Кандидаты (соискатели) на замещение вакантных должностей аффилированных компаний АО «БИОКАД»;

4.1.7 Физические лица, оказывающие услуги по договорам гражданско-правового характера;

4.1.8 Врачи;

4.1.9 Пациенты;

4.1.10 Сотрудники образовательных учреждений;

4.1.11 Обучающиеся образовательных учреждений;

4.1.12 Участники мероприятий;

4.1.13 Спикеры, выступающие на мероприятиях;

4.1.14 Физические лица, направляющих обращения в адрес Оператора;

4.1.15 Субъекты ПДн, предоставившие согласия на трансграничную передачу ПДн Оператором;

4.1.16 Физические лица, посещающие / находящиеся на территории Оператора на законных основаниях;

4.1.17 Законные представители указанных выше категория субъектов ПДн.

4.2 Оператор обрабатывает ПДн следующих категорий:

4.2.1 Иные;

4.2.2 Специальные.

4.3 Цели обработки, категории ПДн и категории субъектов ПДн, обрабатываемых Оператором.

4.3.1 Цель обработки ПДн: ведение кадрового и бухгалтерского учета. Категории ПДн: фамилия, имя, отчество, дата рождения, место рождения, семейное положение, социальное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, сведения об образовании; фотография, иные ПДн. Категории субъектов ПДн: работники.

4.3.2 Цели обработки ПДн: подготовка, заключение и исполнение гражданско-правового договора. Категории ПДн: фамилия, имя, отчество, дата рождения, место рождения, адрес электронной почты, адрес места жительства, адрес регистрации, СНИЛС, ИНН, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность. Категории субъектов ПДн: физические лица оказывающие услуги по договору гражданско-правового характера; иные категории субъектов ПДн.

4.3.3 Цели обработки ПДн: регистрация и ответ на запросы/обращения субъектов ПДн в адрес Оператора. Категории ПДн: фамилия, имя, отчество, адрес электронной почты, адрес регистрации, данные документа, удостоверяющего личность. Категории субъектов ПДн: законные представители, иные категории субъектов ПДн, ПДн которых обрабатываются; физические лица, направляющие обращения в адрес Оператора.

4.3.4 Цели обработки ПДн: публикация научных статей и иных информационных рассылок. Категории ПДн: фамилия, имя, отчество, должность, иные ПДн (указывается конкретная категория); сведения о научной и просветительской деятельности (ученая степень, ученое звание, публикации научного (учебные, научно-популярные, профессиональные и квалификационные) и иного характера, если применимо); фотография. Категории субъектов ПДн: работники, иные категории субъектов ПДн, участники мероприятий; спикеры, выступающие на мероприятиях.

4.3.5 Цели обработки ПДн: трансграничная передача ПДн. Категории ПДн: фамилия, имя, отчество, дата рождения, адрес электронной почты, адрес места жительства, номер телефона, данные документа, удостоверяющего личность, должность. Категории субъектов ПДн: работники, субъект ПДн, предоставивший согласие на трансграничную передачу ПДн.

4.3.6 Цели обработки ПДн: обеспечение пропускного режима на территорию Оператора. Категории ПДн: фамилия, имя, отчество, данные документа, удостоверяющего личность, должность. Категории субъектов ПДн: иные категории субъектов ПДн; обучающиеся образовательных учреждений; участники мероприятий; физические лица, посещающие / находящиеся на территории Оператора на законных основаниях.

4.3.7 Цели обработки ПДн: подбор персонала (соискателей) на вакантные должности Оператора. Категории ПДн: фамилия, имя, отчество, дата рождения, место рождения ,адрес электронной почты, номер телефона, данные документа, удостоверяющего личность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),иные ПДн (указывается конкретная категория); иные сведения, указанные в резюме и сопроводительном письме кандидата (соискателя). Категории субъектов ПДн: иные категории субъектов ПДн, ПДн которых обрабатываются; обучающиеся образовательных учреждений; кандидаты (соискатели) на замещение вакантных должностей; кандидаты (соискатели) на замещение вакантных должностей в аффилированных компаний АО «БИОКАД».

4.3.8 Цели обработки ПДн: продвижение товаров, работ, услуг на рынке. Категории ПДн: фамилия, имя, отчество, адрес электронной почты, номер телефона, должность, иные ПДн (указывается конкретная категория); сведения, предоставляемые субъектом при заполнении форм на внешних ресурсах. Категории субъектов ПДн: иные категории субъектов ПДн; пациенты, врачи, сотрудники образовательных учреждений, участники мероприятий.

4.3.9 Цели обработки ПДн: предоставление корпоративных льгот, компенсаций и бонусов, в том числе предусмотренных локальными нормативными актами Оператора. Категории ПДн: фамилия, имя, отчество, адрес электронной почты, номер телефона, должность. Категории субъектов ПДн: работники.

4.3.10 Цели обработки ПДн: организация деловых поездок, в том числе оказание помощи в оформлении виз, приглашений и проездных билетов, бронировании гостиниц. Категории ПДн: фамилия, имя, отчество, дата рождения, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, должность. Категории субъектов ПДн: работники, иные категории субъектов ПДн; врачи, представители контрагентов, участники мероприятий.

4.3.11 Цели обработки ПДн: организация добровольного участия субъекта в несвязанных с трудовой деятельностью внутренних и общественных мероприятиях, а также благотворительных мероприятиях. Категории ПДн: фамилия, имя, отчество, дата рождения, адрес электронной почты, адрес регистрации, номер телефона, данные документа, удостоверяющего личность, должность, сведения об образовании. Категории субъектов ПДн: работники, иные категории субъектов ПДн; Участники мероприятий.

4.3.12 Цели обработки ПДн: участие субъекта в программах добровольного медицинского страхования, включая страхование от несчастного случая. Категории ПДн: фамилия, имя, отчество, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, содержащиеся в свидетельстве о рождении, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),иные ПДн (указывается конкретная категория); сведения о месте учёбы для несовершеннолетних субъектов. Категории субъектов ПДн: работники, родственники работников; обучающиеся образовательных учреждений.

4.3.13 Цели обработки ПДн: организация и проведение научных исследований, в том числе клинических исследований с участием субъектов ПДн. Категории ПДн: фамилия, имя, отчество, адрес электронной почты, адрес места жительства, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),иные ПДн (указывается конкретная категория),сведения об образовании; сведения о научных званиях и научных степенях; сведения о специализации; данные о членстве в научных организациях и профессиональных ассоциациях; информация об осуществляемой научной деятельности. Категории субъектов ПДн: законные представители, иные категории субъектов персональных данных; врачи, обучающиеся образовательных учреждений; сотрудники образовательных учреждений.

4.3.14 Цели обработки ПДн: обработка ПДн по поручению Оператора или в рамках исполнения договора. Категории ПДн: фамилия, имя, отчество, дата рождения, место рождения, адрес электронной почты, адрес места жительства, адрес регистрации ,номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, номер расчетного счета, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),сведения об образовании. Категории субъектов ПДн: иные категории субъектов ПДн; работники аффилированных компаний АО «БИОКАД».

4.3.15 Цели обработки ПДн: обеспечение соблюдения трудового, бухгалтерского, налогового, социального и иного законодательства Российской Федерации, исполнение трудового договора и обязательств Компании перед своими работниками. Категории ПДн: фамилия, имя, отчество, дата рождения, место рождения, социальное положение, имущественное положение, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, сведения об образовании. Категории субъектов ПДн: работники; работники компании, трудовые отношения с которыми прекращены.

4.4 Оператор может осуществлять обработку ПДн для каждой цели, указанной в п. 5.3. Политики с использованием средств автоматизации или без использования таких средств.

4.5 Оператор обрабатывает специальные категории ПДн, касающиеся состояния здоровья субъекта ПДн, с целью профилактики и препятствования распространения инфекционных заболеваний, исполнения законодательства Российской Федерации в области охраны труда и трудового законодательства Российской Федерации.

4.6 Оператор не осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

5. Условия, принципы и порядок обработки ПДн

5.1 Условия для обработки ПДн:

5.1.1 с согласия субъекта ПДн;

5.1.2 обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

5.1.3 обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

5.1.4 обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 № 152-ФЗ, при условии обязательного обезличивания ПДн;

5.1.5 осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с применимым федеральным законом;

5.1.6 в иных предусмотренных случаях, согласно статье 6 Федерального закона от 27.07.2006 № 152-ФЗ.

5.2 При обработке ПДн Оператор соблюдает следующие принципы:

5.2.1 Обработка персональных данных должна осуществляться на законной и справедливой основе;

5.2.2 Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

5.2.3 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

5.2.4 Обработке подлежат только персональные данные, которые отвечают целям их обработки;

5.2.5 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

5.2.6 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

5.2.7 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной по которому является субъект ПДн.

5.3 Условия прекращения обработки ПДн Оператором:

5.3.1 Достижение целей обработки ПДн;

5.3.2 Истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн.

5.4 Оператор не раскрывает и не передает ПДн субъектов третьим лицам без наличия надлежащего правового основания. При передаче ПДн субъектов третьи лица предупреждаются Оператором о конфиденциальности передаваемых сведений.

6. Права субъектов ПДн

6.1 Субъект ПДн имеет право:

6.1.1 Получать сведения об обработке его ПДн в том числе, содержащие:

6.1.1.1 Правовые основания и цели обработки ПДн;

6.1.1.2 Подтверждение факта обработки ПДн Оператором;

6.1.1.3 Цели и применяемые Оператором способы обработки ПДн;

6.1.1.4 Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона;

6.1.1.5 Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

6.1.1.6 Сроки обработки ПДн, в том числе сроки их хранения;

6.1.1.7 Порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ;

6.1.1.8 Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

6.1.1.9 Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

6.1.1.10 Иные сведения, предусмотренные действующим законодательством.

6.1.2 Требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.

6.1.3 Осуществлять защиту своих прав как самостоятельно, так и через представителя. Оператор при этом сохраняет за собой право запрашивать у представителя информацию, необходимую для подтверждения законности обращения (например, доверенность, решение суда или государственных органов).

6.1.4 Направлять в адрес Оператора запросы на отзыв согласия на обработку ПДн с последующим получением подтверждения об уничтожении ПДн на электронную почту dataprotection@biocad.ru.

6.1.4.1 Право субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами.

7. Права и обязанности Оператора по обработке ПДн

7.1 Оператор вправе:

7.1.1 Получать от субъекта ПДн достоверные информацию и/или документы, содержащие ПДн;

7.1.2 В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством Российской Федерации в области обработки и защиты ПДн;

7.1.3 Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами;

7.1.3.1 Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, на основании заключаемого с этим лицом договора, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством Российской Федерации в области обработки и защиты ПДн и настоящей Политикой.

7.1.3.2 Оператор в ходе своей деятельности может осуществлять трансграничную передачу ПДн на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. В случае трансграничной передачи ПДн, до начала такой передачи Оператор уведомляет уполномоченный орган по защите прав субъектов ПДн о намерении осуществлять трансграничную передачу ПДн в соответствии с требованиями ст.12 Федерального закона от 27.07.2006 № 152-ФЗ.

7.2 Оператор обязан:

7.2.1 Определять цели, основания и перечень обрабатываемых ПДн.

7.2.2 При сборе ПДн предоставлять субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн.

7.2.3 Обеспечивать точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

7.2.4 Обеспечивать сбор согласий на обработку ПДн, разрешенных субъектом ПДн для распространения – в случае предоставления доступа к ПДн субъекта неограниченному кругу лиц.

7.2.5 Принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7.2.6 Осуществлять внутренний контроль соответствия процесса обработки ПДн в соответствии с законодательством Российской Федерации в области обработки и защиты ПДн и принятыми в соответствии с ним нормативными правовыми актами, локальными нормативными актами Оператора.

7.2.7 Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.

7.2.8 Прекращать по требованию субъекта ПДн обработку его ПДн в предусмотренный законом срок с даты получения обращения, если нет законных оснований для продолжения обработки ПДн без согласия субъекта.

7.2.9 Разъяснять субъекту ПДн юридические последствия отказа от предоставления ПДн и (или) согласия на их обработку.

7.2.10 При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

7.2.11 Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

7.2.12 Предоставлять безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн.

7.2.13 Прекращать обработку ПДн или обеспечить ее прекращение в случае достижения цели обработки ПДн, в предусмотренный законодательством срок с даты достижения цели.

7.2.14 Выполнять иные обязанности, предусмотренные Федеральными законами и иными нормативно-правовыми актами, регулирующими обработку и защиту ПДн.

7.3 Работники Оператора, обрабатывающие ПДн субъектов, обязаны:

7.3.1 Обрабатывать ПДн субъектов только в рамках выполнения своих должностных обязанностей.

7.3.2 Не разглашать ПДн субъектов, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности.

7.3.3 Пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) ПДн субъектов.

7.3.4 Выявлять факты разглашения, уничтожения, искажения ПДн субъектов и незамедлительно информировать об этом Департамент информационной безопасности Оператора путём уведомления на Портале самообслуживания или через Корпоративный почтовый клиент.

8. Меры по обеспечению безопасности ПДн

8.1 Безопасность ПДн, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер:

8.1.1 Назначение лица, ответственного за организацию обработки ПДн.

8.1.2 Ограничение перечня лиц, допущенных к обработке ПДн.

8.1.3 Ознакомление работников с требованиями федерального законодательства и локальных нормативных документов Оператора по обработке и защите ПДн.

8.1.4 Организация учета, хранения и обращения носителей, содержащих информацию с ПДн.

8.1.5 Определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз.

8.1.6 Разработка на основе модели угроз системы защиты ПДн.

8.1.7 Разработка локальных нормативных актов в области защиты ПДн.

8.1.8 Ведение реестра процессов обработки ПДн и поддержка его в актуальном состоянии.

8.1.9 Контроль и отслеживание сроков обработки обращений и запросов на реализацию прав субъектов ПДн.

8.1.10 Принятие мер для обеспечения безопасности обработки ПДн третьими лицами, получающими доступ к ПДн (заключение договоров и поручений на обработку).

8.1.11 Проведение регулярных аудитов процессов обработки ПДн;

8.1.12 Проведение регулярных обучений по работе с ПДн для Работников Оператора;

8.1.13 Осуществление иных мер, предусмотренных локальными нормативными актами Оператора.

8.1.14 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента Оператором, уведомить Роскомнадзор в сроки, установленные законодательством, а также сообщить о результатах внутреннего расследования выявленного инцидента в установленный срок.

9. Ссылки

9.1 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

9.2 Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

9.3 Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

9.4 Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;

9.5 Гражданский кодекс Российской Федерации от 30.11.1994 № 51-ФЗ;

9.6 Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;

9.7 Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

9.8 Федеральный закон от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств»;

9.9 Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».