1. Общие положения
1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных в АКЦИОНЕРНОМ ОБЩЕСТВЕ «ОТИСИФАРМ» (АО «ОТИСИФАРМ», далее — Общество).
1.2. Политика является общедоступным документом и предусматривает возможность ознакомления с ней любых лиц.
1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных».
2. Сведения об обработке персональных данных
2.1. Обработка персональных данных Обществом ведется с использованием и без использования средств автоматизации с передачей по внутренней сети Общества, с передачей по сети Интернет.
2.2. Обработка персональных данных Обществом осуществляется путем совершения следующих действий (операций) и (или) совокупности действий (операций): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Обработка персональных данных осуществляется Обществом на законной и справедливой основе. Правовыми основаниями для обработки являются:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 12.04.2010 No 61-ФЗ «Об обращении лекарственных средств»;
• Федеральный закон от 21.11.2011 No 323-ФЗ «Об основах охраны здоровья граждан в Российской
Федерации»;
• Закон РФ от 07.02.1992 г. No 2300-1 «О защите прав потребителей»;
• Федеральный закон от 07.08.2001 No 115-ФЗ «О противодействии легализации (отмыванию)
доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 26.12.1995 No 208-ФЗ «Об акционерных обществах»;
• Федеральный закон от 27.07.2006 No 149-ФЗ «Об информации, информационных технологиях и о
защите информации»;
• Федеральный закон от 22.10.2004 No 125-ФЗ «Об архивном деле в Российской Федерации»;
• Федеральный закон от 27.07.2006 No 152-ФЗ «О персональных данных»;
• Устав АО «ОТИСИФАРМ»;
• Согласия субъектов персональных данных на обработку их персональных данных.
2.4. Содержание и объем обрабатываемых персональных данных определяются, исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
• осуществление экономической и хозяйственной деятельности, направленной на извлечение прибыли, в соответствии с Уставом АО «ОТИСИФАРМ»;
• ведение бухгалтерского учета и составление налоговой отчетности;
• осуществление и выполнение возложенных законодательством Российской Федерации на АО
«ОТИСИФАРМ» функций, полномочий и обязанностей: выполнение требований налогового законодательства РФ, законодательства РФ об акционерных обществах, законодательства РФ о здравоохранении и об обращении лекарственных средств;
• исполнение договоров, сторонами которых либо выгодоприобретателями или поручителями по которым являются субъекты персональных данных, а также заключение договоров по инициативе субъектов персональных данных или договоров, по которым субъекты персональных данных будут являться выгодоприобретателями или поручителями;
• сбор статистики и проведение исследований эффективности и безопасности лекарственных средств;
• защита жизни и здоровья потребителей;
• работа с обращениями физических лиц.
2.5. Обществом обрабатываются персональные данные пользователей сайта по адресу территория- без-тревоги.рф, которые являются потенциальными потребителями продукции АО «Отисифарм» и с которыми могут заключаться договоры гражданско-правового характера, и/или которые могут обращаться в АО «Отисифарм» для получения информации, с заявлениями, просьбами и иными обращениями.
2.6. Состав обрабатываемых персональных данных в отношении каждой категории субъектов персональных данных, цели и правовые основания обработки утверждены локальными нормативными актами Общества.
2.7. При обработке обеспечиваются точность персональных данных, их достаточность и
актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.
2.8. Обеспечивается конфиденциальность персональных данных, не являющихся общедоступными.
2.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.10. Обработка персональных данных на основании договоров и иных соглашений Общества, поручений Обществу и поручений Общества на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Общества, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях.
2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках или оформлено в письменной форме в соответствии с законодательством.
3. Реализуемые требования к защите персональных данных
3.1. Общество применяет необходимые правовые, организационные и технические меры по обеспечению безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, а также от иных неправомерных действий в отношении персональных данных.
3.2. К реализованным требованиям к защите персональных данных относятся:
• назначено лицо, ответственное за организацию обработки персональных данных;
• изданы локальные акты по вопросам обработки персональных данных;
• применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»;
• осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам АО «ОТИСИФАРМ»;
• проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• проводится ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой,
локальными актами по вопросам обработки персональных данных, а также обучение указанных
работников;
• определены угрозы безопасности персональных данных при их обработке в информационных
системах персональных данных;
• применяются организационные и технические меры по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
• осуществляется учет машинных носителей персональных данных;
• организовано обнаружение фактов несанкционированного доступа к персональным данным;
• установлены правила доступа к персональным данным, обрабатываемым в информационных
системах персональных данных;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных
данных и уровней защищенности информационных систем персональных данных;
• осуществляется резервное копирование персональных данных, обрабатываемых в
информационных системах персональных данных.
4. Права субъектов персональных данных
4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Обществом;
• правовые основания и цели обработки персональных данных;
• применяемые Обществом способы обработки персональных данных;
• наименование и место нахождения Общества;
• сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным
законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению Общества, если обработка поручена или будет поручена
такому лицу;
• иные сведения, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных
данных» или другими федеральными законами.
4.2. Сведения, указанные в пункте 4.1 Политики, предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4.3. Субъект персональных данных вправе требовать в соответствии сзаконодательством Российской Федерации от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными,
незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5. Ответственность
5.1. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе.
5.2. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Общества.
Мы отправили его эксперту, он скоро вам ответит.