Политика в отношении обработки персональных данных

Скачать политику в отношении обработки персональных данных

Общество с ограниченной ответственностью «Орион Фарма» (ООО «Орион Фарма»)

УТВЕРЖДЕНЫ  приказом ООО «Орион Фарма» от 18.08.2016 № 02/16-КП

ПОЛИТИКА

 

18.08.2016 № б/н

 

Москва

 

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО

 

1.    Общие положения

1.1. Политика в отношении обработки персональных данных ООО «Орион Фарма» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных (далее – ПДн), перечни субъектов и обрабатываемых в ООО «Орион Фарма» (далее – Компания) ПДн, функции Компании при обработке ПДн, права субъектов ПДн, а также реализуемые в Компании требования к защите ПДн. Действие настоящей Политики распространяется на все операции, совершаемые в Компании с ПДн с использованием средств автоматизации или без их использования.

1.2. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке ПДн в Компании и лицами, участвующими в организации процессов обработки и обеспечения безопасности ПДн в Компании.

1.3. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области ПДн, а также Конвенции Совета Европы №108 «О защите личности в связи с автоматической обработкой персональных данных».

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки ПДн работников Компании и других субъектов ПДн.

1.5. Политика подлежит актуализации в случае изменения законодательства РФ о ПДн.

2. Законодательные и иные нормативные правовые акты, в соответствии с которыми определяется Политика обработки персональных данных в ООО «Орион Фарма»

2.1. Политика обработки ПДн в Компании определяется в соответствии со следующими нормативными правовыми актами:

- Трудовой кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

- Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»;

- Конвенция Совета Европы «О защите личности в связи с автоматической обработкой персональных данных» от 28 января 1981 г., ETS №108;

- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

- постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

- приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

2.2. В целях реализации положений Политики в Компании разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

- положение об обработке ПДн работников ООО «Орион Фарма»;

- положение об обеспечении безопасности ПДн при их обработке в информационных системах ПДн ООО «Орион Фарма»;

- перечень должностей структурных подразделений ООО «Орион Фарма», при замещении которых осуществляется обработка ПДн;

- регламенты обработки ПДн структурных подразделений администрации ООО «Орион Фарма»;

- иные локальные нормативные акты и документы, регламентирующие в ООО «Орион Фарма»  вопросы обработки ПДн.

3. Основные термины и определения, используемые в локальных нормативных актах ООО «Орион Фарма», регламентирующих вопросы обработки персональных данных

Персональные данные  (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Информация — сведения (сообщения, данные) независимо от формы их представления.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники.

Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн).

Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Информационная система ПДн (далее – ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

4. Принципы и цели обработки персональных данных в ООО «Орион Фарма»

4.1 Компания, являясь оператором ПДн, осуществляет обработку ПДн работников Компании и других субъектов ПДн, не состоящих с Компанией в трудовых отношениях.

4.2 Обработка ПДн осуществляется на основе следующих принципов:

- Обработка ПДн осуществляется на законной и справедливой основе;

- Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;

- Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместных между собой;

- Обработке подлежат только те ПДн, которые отвечают целям их обработки;

- Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;

- При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

- Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.3  ПДн обрабатываются в Компании в целях:

- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;

- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

- регулирования трудовых отношений с работниками Компании (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

- предоставления работникам Компании и членам их семей дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

- защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн;

- подготовки, заключения, исполнения и прекращения договоров с контрагентами;

- формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании и ее структурных подразделений;

- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании, или третьих лиц либо достижения общественно значимых целей;

- в иных законных целях.

5. Условия обработки персональных данных в ООО «Орион Фарма»

5.1 Обработка ПДн осуществляется с соблюдением принципов и правил, установленных Федеральным законом «О персональных данных». Обработка ПДн допускается в следующих случаях:

- Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

- Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- Обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

- Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

- Обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения Компаниинно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

- Обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;

- Осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн, либо по его просьбе (далее – ПДн, сделанные общедоступными субъектом ПДн);

- Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.2 Компания может включать ПДн субъектов в общедоступные источники ПДн, при этом Компания берет письменное согласие субъекта на обработку его ПДн.

5.3 Компания может осуществлять обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, состояния здоровья, при этом Компания обязуется брать письменное согласие субъекта на обработку его ПДн.

5.4 Компания осуществляет обработку специальных категорий ПДн лиц, связанных с несчастными случаями и работников (данные о состоянии здоровья в рамках трудовых отношений). При этом Компания выполняет требования к осуществлению обработки специальных категорий ПДн, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и Трудовым кодексом РФ.

5.5 Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) в Компании не обрабатываются.

5.6 Фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

5.7 Компания осуществляет трансграничную передачу ПДн только на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. При этом Компания выполняет требования к осуществлению трансграничной передачи ПДн, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

5.8 В условиях лицензии на осуществление деятельности Компании отсутствует запрет на передачу ПДн третьим лицам без согласия в письменной форме субъекта ПДн.

5.9 При отсутствии необходимости письменного согласия субъекта на обработку его ПДн согласие субъекта может быть дано субъектом ПДн или его представителем в любой позволяющей получить факт его получения форме.

5.10 Компания вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Компания в договоре обязует лицо, осуществляющее обработку ПДн по поручению Компании, соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

5.11 В случае если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией. При этом Компания выполняет требования к поручению обработки ПДн, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

5.12 В целях внутреннего информационного обеспечения деятельности группы лиц Компании могут создаваться внутренние справочные материалы, в которые с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, адрес, адрес электронной почты, иные ПДн, сообщаемые субъектом ПДн.

5.13 Доступ к обрабатываемым в Компании ПДн разрешается только работникам Компании, занимающими должности, включенные на основании приказа Компании в перечень должностей структурных подразделений Компании, при замещении которых осуществляется обработка ПДн.

5.14   Компания обязуется и обязует иные лица, получившие доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

5.15 В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.

5.16 Компания осуществляет обработку ПДн с использованием средств автоматизации и без их использования. При этом Компания выполняет требования к автоматизированной и неавтоматизированной обработке ПДн, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.

6. Перечень субъектов, персональные данные которых обрабатываются в ООО «Орион Фарма», состав и сроки обрабатываемых персональных данных

6.1 Компания, являясь оператором, осуществляет обработку следующих ПДн:

- соискателей на замещение вакантных должностей – в составе и сроком, необходимыми для принятия Компанией решения о приеме либо отказе в приеме на работу, для содействия в трудоустройстве, а также для формирования кадрового резерва с согласия субъектов ПДн

- работников, состоящих или состоявших в трудовых отношениях с Компанией – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в целях предоставления медицинского страхования с согласия субъектов ПДн;

- родственников работников Компании – в составе и сроком, необходимыми для осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, а также в целях предоставления медицинского страхования с согласия субъектов ПДн;

- экспатов Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для оказания содействия экспатам при оформлении приглашений, виз и для постановки на миграционный учет, оформления разрешения на работу, патента, а также в целях предоставления медицинского страхования с согласия субъектов ПДн;

- родственников экспатов Компании – в составе и сроком, необходимыми для оказания содействия экспатам при оформлении приглашений, виз и для постановки на миграционный учет, а также в целях предоставления медицинского страхования с согласия субъектов ПДн;

- представителей поставщиков Компании – в составе и сроком, необходимыми для осуществления взаимодействия с поставщиками с согласия субъектов ПДн;

- лиц, связанных с несчастными случаями – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;

- лиц, получающих доход, но не состоящих в трудовых отношениях с Компанией, в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;

- представителей потенциальных и существующих клиентов – в составе и сроком, необходимыми для осуществления взаимодействия с потенциальными и существующими клиентами с согласия субъектов ПДн;

- представителей партнеров– в составе и сроком, необходимыми для осуществления взаимодействия с партнерами с согласия субъектов ПДн.

6.2  Сроки обработки ПДн определены с учетом:

-       установленных целей обработки ПДн;

-       сроков действия договоров с субъектами ПДн и согласий субъектов ПДн на обработку их ПДн;

- сроков, определенных Приказом Минкультуры РФ от 25 августа 2010г. №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

- Перечень ПДн, обрабатываемых в Компании, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Компании с учетом целей обработки ПДн, указанных в разделе 4 Политики.

6.3  Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Орион Фарма» не осуществляется.

7.    Функции ООО «Орион Фарма» при осуществлении обработки персональных данных

7.1  Компания при осуществлении обработки ПДн:

- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Компании в области ПДн;

- принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

- назначает лицо, ответственное за организацию обработки ПДн в Компании;

- издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты ПДн в Компании;

- осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и локальных нормативных актов Компании в области ПДн, в том числе требованиями к защите ПДн, и обучение указанных работников;

- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

- сообщает в установленном порядке субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством Российской Федерации;

- прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн;

- совершает иные действия, предусмотренные законодательством Российской Федерации в области ПДн.

8.    Права субъектов персональных данных, обрабатываемых в ООО «Орион Фарма»

8.1  Субъект ПДн имеет право на:

- полную информацию об их ПДн, обрабатываемых в Компании;

- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные;

- уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отзыв согласия на обработку ПДн.

- Для получения указанной информации субъект ПДн может отправить письменный запрос (запрос может быть также направлен в форме электронного документа и подписан электронной подписью) на адрес: 119034, Москва, Сеченовский пер., 6, стр. 3, 3 этаж, ООО «Орион Фарма» или orion@orionpharma.ru в порядке, установленном ст.14 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

- принятие предусмотренных законодательством Российской Федерации мер по защите своих прав;

- обжалование действия или бездействия Компании, осуществляемого с нарушением требований законодательства Российской Федерации в области ПДн, в уполномоченный орган по защите прав субъектов ПДн или суд;

- осуществление иных прав, предусмотренных законодательством Российской Федерации.

9. Обязанности ООО «Орион Фарма» при обработке персональных данных

9.1 В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Компания обязана:

- предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ;

- по требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам;

- уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи:

  • Субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

  • ПДн получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

  • ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

  • Компания осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;

  • Предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц.

- в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных №152-ФЗ «О ПДн» или другими федеральными законами;

- в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПДн. Об уничтожении ПДн Компания обязана уведомить субъекта ПДн;

- в случае поступления требования субъекта о прекращении обработки ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку ПДн.

10. Меры по обеспечению безопасности персональных данных при их обработке в ООО «Орион Фарма»

10.1 При обработке ПДн Компания принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

10.2 Обеспечение безопасности ПДн достигается, в частности, применением комплекса организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн, таких как:

  • назначение лица, ответственного за организацию обработки ПДн в Компании;

  • принятие локальных нормативных актов и иных документов в области обработки и защиты ПДн;

  • организация обучения и проведение методической работы с работниками Компании, занимающими должности, включенные на основании приказа Компании в перечень должностей структурных подразделений Компании, при замещении которых осуществляется обработка ПДн;

  • получение согласий субъектов ПДн на обработку ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

  • обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях ПДн, в специальных разделах;

  • обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;

  • установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сети Интернет без применения установленных в Компании мер по обеспечению безопасности ПДн (за исключение общедоступных и (или) обезличенных ПДн);

  • хранение материальных носителей ПДн с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним;

  • осуществление внутреннего контроля соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным нормативным актам Компании;

  • определение угроз безопасности ПДн при их обработке в информационных системах ПДн;

  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

  • оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;

  • учет машинных носителей ПДн;

  • обнаружение фактов несанкционированного доступа к ПДн и принятием мер;

  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;

  • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

  • иные меры, предусмотренные законодательством Российской Федерации в области обработки ПДн.

10.3 Лицо, ответственное за организацию обработки ПДн и назначаемое приказом Компании, получает указания от руководства Компании и подотчетно ему.

10.4 Лицо, ответственное за организацию обработки ПДн, в частности, обязано организовывать:

  • внутренний контроль за соблюдением работниками Компании законодательства Российской Федерации в области обработки ПДн, в том числе требований к защите ПДн;

  • доведение до сведения работников Компании положений законодательства Российской Федерации, локальных нормативных актов Компании в области обработки ПДн, в том числе требований к защите ПДн;

  • контроль за приемом и обработкой обращений и запросов субъектов ПДн или их представителей.

11. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов ООО «Орион Фарма» в области обработки персональных данных, в том числе требований к защите персональных данных

11.1 Контроль за соблюдением структурными подразделениями Компании законодательства Российской Федерации, локальных нормативных актов Компании в области обработки ПДн, в том числе требований к защите ПДн, осуществляется с целью проверки соответствия обработки ПДн в Компании законодательству Российской Федерации, локальным нормативным актам Компании в области обработки ПДн, в том числе требованиям к защите ПДн, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки ПДн, выявления возможных каналов утечки и несанкционированного доступа к ПДн, устранения последствий таких нарушений.

11.2 Внутренний контроль за соблюдением структурными подразделениями Компании законодательства Российской Федерации и локальных нормативных актов Компании в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, ответственным за организацию обработки ПДн в Компании.

11.3 Персональная ответственность за соблюдение структурными подразделениями Компании требований законодательства Российской Федерации, локальных нормативных актов Компании в области обработки ПДн, в том числе требований к защите ПДн, возлагается на руководителей подразделений Компании.

Обновлено 23 августа 2016