Персональные данные

Политика
в отношении обработки персональных данных
в Представительстве компании Мундифарма Гезельшафт м.б.Х. (Австрия), г.Москва

1. Введение

      1. Важнейшим условием реализации целей деятельности Представительстве компании Мундифарма Гезельшафт м.б.Х. (Австрия), г.Москва (далее «Оператор» или «Компания») является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.
      2. Политика Оператора в отношении обработки персональных данных (далее – «Положение») определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в организации Оператора, а также сведения о реализуемых требованиях к защите персональных данных.
      3. Политика разработана в соответствии с действующим законодательством РФ.

2. Состав персональных данныx

      1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Детальный перечень персональных данных фиксируется в локальной нормативной документации Оператора.
      2. Все обрабатываемые Оператором персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.

3. Цели обработки персональных данных

      1. Персональные данные обрабатываются Оператором в целях оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, а также в целях осуществления деятельности представительства иностранной компании согласно Положению о Представительстве в ред. от 20 июля 2015 г. по основаниям, предусмотренным ст.22 Федерального закона от 27.06.2006 №152-ФЗ, 85-90 Трудового кодекса РФ.
      2. Компания в целях надлежащего исполнения своих обязанностей Оператора обрабатывает следующие персональные данные, необходимые для надлежащего исполнения договорных обязательств:
        • персональные данные работников Оператора, состоящих в трудовых отношениях с Оператором;
        • персональные данные иных физических лиц, в том числе, но не ограничиваясь, состоящих в договорных, ученических, гражданско-правовых отношениях с Оператором, в том числе, но не ограничиваясь, учеников, стажеров, специлиастов здравоохранения, экспертов, кандидатов, иных лиц при наличии оснований, предусмотренных законом.

4. Порядок сбора, хранения, передачи и иных видов обработки персональных данных

      1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.
      2. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий: Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.

5. Сведения о реализуемых требованиях к защите персональных данных.

      1. Оператор проводит следующие мероприятия: определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз; осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующих информационных систем; принимает меры к формированию предварительного плана проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; принимает меры к проведению анализа о необходимости установки и ввода в эксплуатацию дополнительных средств защиты информации в соответствии с эксплуатационной и технической документацией; при необходимости проводит обучение сотрудников Компании, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе; осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; вправе инициировать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; осуществляет иные меры. Для разработки и осуществления конкретных мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе Оператором или уполномоченным лицом ответственным является подразделение информационных технологий Оператора. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Оператором. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) Оператора или уполномоченного лица. При обнаружении нарушений порядка предоставления персональных данных Оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

6. Права и обязанности Оператора

      1. Компания как Оператор персональных данных вправе:
      • отстаивать свои интересы в суде;
      • предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
      • отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;
      • использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

7. Права и обязанности субъекта персональных данных

      1. Субъект персональных данных имеет право на:
        • уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также на принятие предусмотренные законом меры по защите своих прав;
        • получение информации, касающейся обработки его персональных данных, в том числе содержащей:
          • подтверждение факта обработки персональных данных Оператором;
          • правовые основания и цели обработки персональных данных;
          • цели и применяемые Оператором способы обработки персональных данных;
          • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
          • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
          • сроки обработки персональных данных, в том числе сроки их хранения;
          • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
          • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
          • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
          • иные сведения, предусмотренные федеральными законами;
        • обжалование действий или бездействия Оператора;
        • защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. Заключительные положения

    1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
    2. Настоящая Политика является внутренним документом Оператора и подлежит размещению на официальном сайте Оператора.
    3. Контроль исполнения требований настоящей Политики осуществляется Директором юридической службы и соблюдения норм бизнеса Компании.