Положение об организации обработки персональных данных в ООО «МСД Фармасьютикалс»

Настоящее Положение об организации Обработки Персональных данных в ООО «МСД Фармасьютикалс» («Положение») определяет общую политику в отношении Обработки Персональных данных («ПДн») в ООО «МСД Фармасьютикалс» («Общество»). 

Цели данного Положения

Настоящее Положение разработано в целях:

  • организации Обработки ПДн Работников Общества и иных Субъектов ПДн, осуществляемой в рамках полномочий Общества как Оператора ПДн, а также в случаях, когда Обработка ПДн поручена Обществу другим Оператором ПДн в соответствии с требованиями действующего законодательства Российской Федерации;
  • обеспечения защиты прав и свобод человека и гражданина при Обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Ссылки на глобальные политики и/или законодательный акты

Настоящее Положение разработано с учетом:

  • 1. Нормативно-правовых актов:
    • Конституция Российской Федерации;
    • Трудовой кодекс Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»);
    • Федеральный закон от 12.04.2010 №61-ФЗ «Об обращении лекарственных средств»;
    • Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • иные нормативно-правовые акты Российской Федерации, регламентирующие вопросы Обработки ПДн фармацевтическими компаниями.
  • 2. Глобальных политик MSD:
    • Глобальная политика конфиденциальности в Интернете, доступная по ссылке (на русском языке);
    • Глобальные правила по обеспечению защиты персональных данных при трансграничной передаче, доступные по ссылке (на русском языке);
    • Глобальная политика использованию файлов Cookie, доступная по ссылке (на русском языке).

1. Основные термины и сокращения

  • Следующие употребляемые в настоящем документе термины имеют указанные ниже значения:
    • Автоматизированная Обработка Персональных данных – Обработка ПДн с помощью средств вычислительной техники.
    • Биометрические Персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности Субъекта ПДн.
    • Блокирование Персональных данных – временное прекращение Обработки ПДн (за исключением случаев, если Обработка необходима для уточнения ПДн).
    • Глобальные политики / правила / стандарты / процедуры / решения – разработанные и принятые на уровне материнской компании Общества документы, правила или требования, которые применяются к деятельности Общества в части, не противоречащей законодательству Российской Федерации.
    • Кандидат на работу – физическое лицо, направившее Обществу или уполномоченному лицу свое резюме или иную информацию с целью вступить в трудовые отношения с Обществом.
    • Контрагент – физическое лицо, в том числе индивидуальный предприниматель, и/или работники, представители, подписанты договоров индивидуальных предпринимателей и/или юридических лиц, действующих как в собственных интересах, так и представляющих интересы третьих лиц, в их отношениях с Обществом в рамках или в связи с предполагаемыми/ заключаемыми или заключенными гражданско-правовыми договорами.
    • Конфиденциальность Персональных данных – обязанность Оператора и иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации.
    • Материальный носитель – материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.
    • Обработка – означает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение Персональных данных.
    • Оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие Обработку ПДн, а также определяющие цели Обработки ПДн, состав ПДн, подлежащих Обработке, действия (операции), совершаемые с ПДн.
    • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных).
    • Работник – физическое лицо, вступившее в трудовые отношения с Обществом.
    • Распространение Персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
    • Субъекты, Субъекты Персональных данных – Работники и члены их семей, бывшие Работники, Кандидаты на работу; Контрагенты, потенциальные Контрагенты – физические лица и индивидуальные предприниматели; представители, подписанты договоров от лица Контрагентов, являющихся юридическими лицами, к которым относятся соответствующие ПДн, обрабатываемые Обществом, и иные лица, чьи ПДн обрабатываются Обществом.
    • Трансграничная передача Персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
    • Уничтожение Персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
    • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор – уполномоченный орган по защите прав Субъектов ПДн в Российской Федерации.

2. Принципы обработки персональных данных

  • Обработка ПДн в Обществе должна осуществляться с соблюдением следующих принципов:
    • Обработка ПДн должна осуществляться на законной и справедливой основе;
    • Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается Обработка ПДн, несовместимая с целями сбора ПДн;
    • Не допускается объединение баз данных, содержащих ПДн, Обработка которых осуществляется в целях, несовместимых между собой;
    • Обработке подлежат только ПДн, которые отвечают целям их Обработки;
    • Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям Обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их Обработки;
    • При Обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям Обработки ПДн. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных в соответствии с локально-нормативными актами Общества;
    • Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели Обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей Обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Условия и порядок обработки персональных данных

3.1. Цели Обработки ПДн, а также категории и перечень обрабатываемых ПДн, категории Субъектов, данные которых обрабатываются, способы, сроки их Обработки и хранения для каждой цели Обработки, определяются Генеральным директором Общества и (или) лицом, ответственным за организацию обработки ПДн, и закрепляются в Перечне Персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс».

3.2. Обработка ПДн в Обществе может осуществляться исключительно при наличии одного из следующих правовых оснований:

  • Обработка ПДн осуществляется с согласия Субъекта ПДн на Обработку его ПДн;
  • Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
  • Обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем;
  • Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта ПДн, если получение согласия Субъекта ПДн невозможно;
  • Обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДн;
  • Обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных при условии обязательного обезличивания ПДн;
  • осуществляется Обработка ПДн, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн либо по его просьбе;осуществляется Обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством Российской Федерации.

3.3. На основаниях пункта 3.1 и полномочий Общества как Оператора ПДн, Общество обрабатывает ПДн Субъектов следующих категорий:

  • Работников Общества (в том числе уволенных);
  • Родственников Работников Общества;
  • Кандидатов на работу в Обществе;
  • Кандидатов на работу, входящих в кадровый резерв Общества;
  • Контрагентов;
  • Руководителей, работников, представителей и участников/акционеров Контрагентов;
  • Работников Сферы Здравоохранения;
  • Посетителей интернет-сайтов и пользователей мобильных приложений Общества;
  • Зарегистрированных пользователей интернет-сайтов и мобильных приложений Общества;
  • Посетителей офисов и (или) помещений Общества;
  • Иных Субъектов, обращающихся в Общество (при необходимости Обработки их ПДн для целей выполнения их запросов);
  • Иных категорий Субъектов ПДн, указанных в Перечне персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс».

3.4. Перечень Персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», формируется лицом, ответственным за организацию Обработки ПДн в Обществе, с учетом текущих потребностей и бизнес-процессов Общества. Обработка ПДн, которые не были включены в Перечень Персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», не допускается, за исключением случаев, когда обязанность осуществлять такую Обработку предусмотрена действующим законодательством.

3.5. Принятие решений о внесении изменений в Перечень Персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», осуществляется с учетом Правил оценки возможного вреда Субъектам ПДн и соответствия указанного вреда с принимаемыми мерами в ООО «МСД Фармасьютикалс».

3.6. Перечень лиц, допущенных к Обработке Персональных данных в ООО «МСД Фармасьютикалс» формируется лицом, ответственным за организацию Обработки ПДн в Обществе.

3.7. Общество не обрабатывает специальные категории ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, кроме случаев, когда Обработка ПДн о состоянии здоровья осуществляется в соответствии с трудовым законодательством, законодательством об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством, а также законодательством об обращении лекарственных средств.

3.8. Общество не обрабатывает биометрические ПДн.

3.9. Общество не принимает решений, порождающих юридические последствия в отношении Субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной Обработки его ПДн.

3.10. Формы письменного согласия на Обработку ПДн, а также согласия на Обработку ПДн в иной позволяющей подтвердить факт его получения форме устанавливаются локальными нормативными актами Общества или разрабатываются для конкретного случая (при условии последующего одобрения такой формы согласия для конкретного случая лицом, ответственным за организацию Обработки ПДн в Обществе).

3.11. В случае возникновения необходимости получения ПДн у третьих лиц, Общество должно заранее известить об этом Субъекта Персональных данных, получить его согласие и сообщить ему о наименовании и адресе Оператора, целях и правовых основаниях, предполагаемых источниках и способах получения ПДн, а также о предусмотренных Законом о персональных данных правах Субъекта ПДн.

3.12. В целях организации информационного обеспечения и коммуникаций Общество может создавать и вести такие общедоступные источники ПДн как справочники (списки Работников, некоторых работников Контрагентов), Интернет-сайты и др., в том числе с использованием собственных информационных систем ПДн и информационных систем ПДн, владельцами которых являются иные лица.

3.13. При необходимости распространения ПДн Субъектов Общество обеспечивает получение отдельного согласия на Обработку ПДн, разрешенных Субъектом для распространения. В этом случае Субъекту обеспечивается возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на Обработку ПДн, разрешенных Субъектом для распространения.

3.14. При получении соответствующего требования Субъекта Общество прекращает передачу (распространение, предоставление, доступ) ПДн, разрешенных Субъектом ПДн для распространения.

3.15. Особенности неавтоматизированной Обработки ПДн устанавливаются Правилами Обработки Персональных данных без использования средств автоматизации в ООО «МСД Фармасьютикалс».

3.16. Особенности Обработки ПДн в информационных системах ПДн устанавливаются Положением об обеспечении безопасности Персональных данных при их Обработке в информационных системах Персональных данных в ООО «МСД Фармасьютикалс» и/или иными локальными нормативными актами Общества.

3.17. Перечень информационных систем Персональных данных утверждаются Генеральным директором Общества или лицом, ответственным за обеспечение безопасности ПДн при Обработке в информационных системах ПДн. Не допускается Обработка ПДн с использованием информационных систем, которые не были включены в указанный перечень.

3.18. Перечень мест хранения материальных носителей Персональных данных в ООО «МСД Фармасьютикалс» утверждается Генеральным директором Общества или лицом, ответственным за организацию Обработки ПДн в Обществе. Хранение материальных носителей ПДн в помещениях или иных местах хранения, не включенных в Перечень мест хранения материальных носителей Персональных данных в ООО «МСД Фармасьютикалс», не допускается.

3.19. Порядок доступа в помещения, в которых ведется Обработка ПДн, а также к местам хранения документов и материальных носителей, содержащих ПДн устанавливается Правилами доступа Работников в помещения, в которых ведется Обработка Персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», а также к местам хранения документов и материальных носителей, содержащих Персональные данные.

3.20. Сроки Обработки и иные условия прекращения Обработки ПДн определяются в Перечне Персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс». Положение об уничтожении Персональных данных, обрабатываемых в ООО «МСД Фармасьютикалс», утверждается Генеральным директором Общества или лицом, ответственным за организацию Обработки ПДн в Обществе.

3.21. Субъекты ПДн имеют право на получение сведений, указанных в Законе о персональных данных. Субъекты ПДн вправе требовать от Общества уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки, а также принимать предусмотренные законом меры по защите своих прав. Правила рассмотрения запросов Субъектов Персональных данных (включая их представителей) в Обществе утверждаются Генеральным директором Общества или лицом, ответственным за организацию Обработки ПДн в Обществе.

4. Локализация персональных данных

4.1. При сборе ПДн Субъектов ПДн, являющихся гражданами Российской Федерации, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

5. Процедура оценки воздействия на защиту персональных данных. Проектируемая защита персональных данных

5.1 При планировании новых бизнес-процессов, в рамках которых осуществляется Обработка ПДн, или обновлении существующих бизнес-процессов Общество проводит оценку в соответствии с Правилами оценки возможного вреда Субъектам ПДн.

5.2 Общество также использует Глобальную Процедуру оценки воздействия на защиту Персональных данных для выявления потенциальных рисков и внедрении соответствующих контролей при планировании новых бизнес-процессов, в рамках которых осуществляется Обработка ПДн, или обновлении существующих бизнес-процессов.

5.3 При проектировании и разработке новых систем (сайтов, мобильных приложений) или процессов или изменении существующих Общество внедряет необходимые организационные и технические меры для обеспечения эффективной защиты ПДн.

6. Передача персональных данных

6.1 В случаях, предусмотренных Законом о персональных данных, Общество может осуществлять передачу ПДн государственным и муниципальным органам и иным Операторам ПДн.

6.2 Если какие-либо ПДн Работников и (или) работников Контрагентов включены в общедоступные источники ПДн в целях организации информационного обеспечения и коммуникаций Общества, Общество может свободно предоставлять соответствующие ПДн третьим лицам, в том числе для участия Общества в тендерах, при подготовке предложений по продаже товаров, выполнении работ, оказании услуг и в иных случаях в связи с осуществлением хозяйственной деятельности Общества.

6.3 Передача ПДн для Обработки иным третьим лицам в иных случаях допускается при одновременном соблюдении следующих условий:

  • Обработка третьим лицом ПДн, предоставленных Обществу Субъектом ПДн (его законным представителем), осуществляется при условии, что:
    • есть согласие Субъекта ПДн (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями Закона о персональных данных; или
    • Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем; или
    • третье лицо, которому передаются ПДн, подтвердит наличие у него иных законных оснований для получения ПДн у Общества и его последующей Обработки.
    • Кроме случаев, когда законодательством допускается иное, Передача ПДн третьему лицу осуществляется только на основании договора, заключенного с Обществом, в котором:
      • установлена обязанность третьего лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их Обработке;
      • установлена обязанность третьего лица не раскрывать и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации;
      • в случае поручения Обществом третьему лицу осуществлять Обработку ПДн в таком договоре дополнительно должны быть определены и установлены:
        • перечень ПДн;
        • перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим Обработку ПДн;
        • цели Обработки ПДн;
        • обязанность такого лица соблюдать требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных;
        • обязанность по запросу Общества в течение срока действия поручения, в том числе до Обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований, установленных в соответствии со статьей 6 Закона о персональных данных;
        • требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении Общества об инцидентах с ПДн.
    • В отношении третьего лица, которому передаются ПДн проведены все необходимые процедуры комплексной проверки, предусмотренные процедурами и политиками Общества, а именно:
      • Оценка соблюдения требований по Обработке Персональных данных поставщиком;
      • Оценка рисков информационной безопасности;
      • В случае трансграничной передачи ПДн – оценка такого третьего лица в порядке, предусмотренном Процедурой осуществления трансграничной передачи Персональных данных.

6.4 Ответы на письменные запросы государственных органов и третьих лиц даются в письменной форме на бланке Общества и в том объеме, который позволяет не разглашать избыточный объем ПДн о Субъектах ПДн.

7. Оценка соблюдений требований по защите персональных данных

7.1 Общество проводит оценку и мониторинг соблюдения требований по защите ПДн для обеспечения эффективности защиты ПДн, выявления соответствующих рисков и внедрения технических и организационных механизмов контроля.

7.2 Самостоятельная оценка соблюдения требований проводится Обществом как минимум раз в год.

7.3 Генеральный директор и высшее руководство Общества совместно со лицом, ответственным за организацию Обработки Персональных данных, периодически оценивают соблюдение принципов и требований настоящего Положения, включая проверку результатов самостоятельной оценки соблюдения требований по защите Персональных данных и утверждение мер, направленных на улучшение общего уровня защиты ПДн в Обществе.

8. Управление инцидентами с персональными данными

8.1 Общество обеспечивает наличие достаточных средств контроля и возможностей для обнаружения и сообщения об инцидентах с ПДн. Под инцидентом с ПДн понимается любое нарушение применимых политик и процедур по работе с ПДн, включая случайное или незаконное уничтожение, потерю, изменение ПДн или несанкционированные разглашение или доступ к ПДн.

8.2 При работе с инцидентами с ПДн Общество руководствуется Процедурой реагирования на инциденты, а также (в части, не противоречащей ей) Глобальной стандартной операционной процедурой «Сообщение об инцидентах с ПДн».