Организация обработки и обеспечения безопасности персональных данных в АО «БАЙЕР»
1. Общие положения
1.1. В целях исполнения норм действующего законодательства Российской Федерации в полном объеме АО «БАЙЕР» (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика организации обработки и обеспечения безопасности персональных данных в АО «БАЙЕР» (далее – Политика) характеризуется следующими признаками:
1) разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
2) раскрывает способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
3) является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных.
1.3. Оператор до начала обработки персональных данных осуществил уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Оператор добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.
1.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Субъект персональных данных, давая согласие на обработку своих персональных данных, должен быть проинформирован о целях их обработки. Цели обработки должны быть включены в форму согласия субъекта персональных данных. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
1. Основные понятия, используемые в Политике
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Лицо, осуществляющее обработку персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных по поручению оператора персональных данных с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами, но не определяющее цели обработки указанных персональных данных, состав персональных данных, действия, совершаемые с персональными данными.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
- Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
- Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
- Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
- Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Специальные категории персональных данных – особые категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.
- Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
- Общедоступные источники персональных данных – общедоступные источники данных, в которые с письменного согласия субъекта персональных данных могут включаться персональные данные, сообщаемые субъектом персональных данных.
- Ответственный за организацию обработки персональных данных – физическое или юридическое лицо, назначаемое АО «БАЙЕР» ответственным за организацию обработки персональных данных.
2. Основные права и обязанности Оператора
2.1. Оператор вправе:
1) получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
2) требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных в целях обеспечения точности, достаточности и актуальности персональных данных.
2.2. Оператор обязан:
1) обрабатывать персональные данные в порядке, установленном действующим законодательством Российской Федерации;
2) рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
3) предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным в порядке, предусмотренном действующим законодательством Российской Федерации;
4) принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
5) организовывать защиту персональных данных в соответствии с требованиями законодательства Российской Федерации.
3. Основные права и обязанности субъектов персональных данных
3.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
3.2. Субъект персональных данных вправе требовать от Оператора уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
3.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке в сроки, установленные действующим законодательством Российской Федерации.
3.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
3.6. Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных.
3.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
3.8. Субъект персональных данных обязан предоставлять Оператору только достоверные данные о себе, а также предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки.
3.9. Субъект персональных данных обязан сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
3.10. Лицо, передавшее Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Российской Федерации.
4. Цели сбора персональных данных
4.1. Обработка персональных данных в АО «БАЙЕР» ограничивается достижением конкретных, заранее определенных и законных целей.
4.2. Персональные данные обрабатываются АО «БАЙЕР» в следующих целях:
1) привлечение и отбор кандидатов на имеющиеся в АО «БАЙЕР» вакансии, а также вакансии, которые могут возникнуть в будущем;
2) организация стажировок и конкурсов для студентов и аспирантов;
3) заключение с субъектами персональных данных любых сделок, и дальнейшее исполнение обязательств по заключенным сделкам;
4) информирование субъектов персональных данных в рамках профессиональной деятельности, включая информирование о мероприятиях, проводимых и (или) организуемых АО «БАЙЕР»;
5) проведение АО «БАЙЕР» опросов, интервью, лекций, и других мероприятий с участием субъектов персональных данных;
6) организация и проведение научных исследований, в том числе клинических исследований, с участием субъектов персональных данных;
7) публикация научных результатов профессиональной деятельности субъектов персональных данных;
8) ведение баз данных, содержащих персональные данные физических лиц, взаимодействующих с Оператором, в том числе по вопросам научной деятельности, для осуществления деловых контактов;
9) предоставление субъектам персональных данных научной, медицинской и иной информации, включая информацию о продуктах и услугах АО «БАЙЕР», и осуществление информационной рассылки, в том числе рекламного характера;
10) сбор информации о потребителях продукции АО «БАЙЕР», включая продукцию под товарным знаком «Bayer», и мнений потребителей о продукции АО «БАЙЕР», в том числе о ее качестве;
11) обратная связь с субъектами персональных данных, в том числе приём и обработка их запросов и обращений;
12) выполнение требований законодательства Российской Федерации о фармаконадзоре и клинических исследованиях;
13) выполнение требований кодексов международных ассоциаций фармацевтических компаний (EFPIA, AIPM);
14) осуществление мониторинга безопасности лекарственных препаратов (фармаконадзора) и улучшение качества товаров;
15) аналитика действий пользователей на веб-сайте и функционирования веб-сайта, а также регистрация на интернет-сайтах оператора;
16) обеспечение законных интересов АО «БАЙЕР», включая поддержание внутреннего порядка, защиту имущества и собственности;
17) ведение кадровой работы и организация учета работников АО «БАЙЕР»;
18) регулирование трудовых и иных, непосредственно связанных с ними отношений, включая содействие работникам в трудоустройстве, обучении и продвижении по службе, включая установление размера заработной платы, расчет заработной платы и ее выплату, а также обеспечение личной безопасности работников;
19) оформление ДМС и страхования жизни и здоровья;
20) оказание помощи в оформлении виз и проездных билетов;
21) выдача служебных автомобилей и оказание помощи в предоставлении транспортных услуг;
22) пользование льготами, компенсациями и бонусами, предусмотренными законодательством Российской Федерации и актами АО «БАЙЕР»;
23) организация поощрительных программ для субъектов персональных данных;
24) выдача доверенностей;
25) соблюдение и исполнение обязательных требований законодательства Российской Федерации в области обязательного медицинского, пенсионного страхования, трудового, гражданского, в том числе в области защиты прав потребителей, и налогового законодательства, охраны труда и т.п.; 26) осуществление хозяйственной деятельности, включая отправку и получение корреспонденции, а также предоставление доступа к ИТ-ресурсам оператора и оказание поддержки в их использовании;
27) организация пропускного режима на территорию Оператора;
28) получение (регистрация) и хранение персональных данных и их носителей в соответствии с законодательством Российской Федерации и внутренними регламентами АО «БАЙЕР» для осуществления деятельности, предусмотренной Уставом Общества;
29) размещение персональных данных субъектов персональных данных на общедоступных ресурсах, включая сайты Оператора, в случаях предусмотренных законом и локальными актами АО «БАЙЕР»;
30) коммуникация в экстренных случаях;
31) осуществление иных функций, полномочий и обязанностей, возложенных на АО «БАЙЕР» законодательством Российской Федерации и внутренними регулирующими документами АО «БАЙЕР».
4.3. АО «БАЙЕР» не обрабатывает персональные данные, несовместимые с целями сбора персональных данных.
4.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
5. Правовые основания обработки персональных данных
5.1. Политика разработана в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
5.2. К правовым основаниям обработки персональных данных, в соответствии с которыми АО «БАЙЕР» осуществляет обработку персональных данных, кроме законодательства Российской Федерации в области обработки и защиты персональных данных, относятся:
1) уставные документы Оператора;
2) договоры, заключаемые между АО «БАЙЕР» и субъектами персональных данных;
3) согласия субъектов персональных данных на обработку персональных данных;
4) иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
5.3. Во исполнение Политики руководителем Оператора приняты соответствующие локальные акты в сфере обработки и защиты персональных данных.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.2. Оператор обрабатывает следующие категории субъектов ПДн:
1) Соискатели;
2) Студенты, аспиранты, стажеры;
3) работники, в том числе по договору ГПХ, экспаты;
4) Уволенные работники;
5) Родственники работников;
6) Физические лица – представители юридических лиц, индивидуальные предприниматели;
7) Потребители продукции и их законные представители;
8) Заявители о нежелательных явлениях;
9) Участники исследований безопасности и эффективности лекарственных препаратов;
10) Посетители интернет-сайтов Оператора;
11) Физические лица, взаимодействующие с оператором по вопросам научной деятельности – специалисты здравоохранения.
6.3. Ниже приведены состав обрабатываемых ПДн для каждой категории:
1) Состав обрабатываемых ПДн:
• Соискатели:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- место рождения;
- город проживания;
- адрес;
- готовность к командировкам и к переезду;
- гражданство;
- разрешение на работу;
- контактные данные (адрес электронной почты, номер телефона, скайп, сайт, ссылки на учетные записи в социальных сетях);
- желаемая должность;
- желаемая зарплата;
- профессиональная область;
- специализация;
- желаемый тип занятости и график работы;
- опыт работы;
- должность и место работы (кем и где работает);
- сведения об образовании;
- сведения о повышении квалификации, пройденных курсах, тестах и экзаменах;
- владение иностранными языками;
- навыки;
- рекомендации;
- семейное положение;
- фотография;
- сведения о наличии водительского удостоверения и категория прав;
- иные сведения в резюме;
- сведения о результатах собеседований и принятом решении.
• Студенты, аспиранты, стажеры:
- фамилия, имя, отчество;
- адрес проживания и регистрации;
- контактные данные (адрес электронной почты, домашний/служебный/мобильный номер телефона, номер факса);
- почтовый домашний и рабочий адрес;
- сведения об образовании с указанием специальности (направления), курса, факультета, названия учебного заведения, квалификации (степени), года начала и года окончания обучения;
- владение иностранными языками;
- сведения о пройденных курсах, тестах и экзаменах;
- «кто я как будущий профессионал?»;
- сведения об опыте работы;
- место работы, должность, специальность;
- ученая степень;
- размер стипендии;
- сведения из документа, удостоверяющего личность и его копия (основной разворот и регистрация);
- номер ИНН;
- данные СНИЛС;
- данные в заявлении на перечисление стипендии;
- банковские реквизиты для перечисления стипендии;
- подпись.
• работники и уволенные работники:
- фамилия, имя отчество;
- дата рождения (число, месяц, год);
- место рождения;
- гражданство;
- пол;
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- реквизиты страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- сведения о наличии водительского удостоверения;
- сведения об ограничениях трудовой деятельности по состоянию здоровья;
- сведения о социальных льготах;
- сведения о поощрениях и наградах;
- сведения, указанные в свидетельствах государственной регистрации актов гражданского состояния;
- банковские реквизиты;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
- сведения об ученой степени;
- сведения о специальных профессиональных знаниях и навыках;
- сведения о воинском учете и реквизиты документов воинского учета;
- условия трудового договора и дополнительных соглашений к нему;
- информация о трудовой деятельности и ее результатах, включая перечень обязанностей, сведения о работодателях, продвижении по службе, дисциплинарных взысканиях, переходах на новую должность/место работы, причинах увольнения;
- сведения финансового характера: оклад, ставка, иные начисления и выплаты, о счетах в банке для начисления заработной платы и иных выплат, сведения о подлежащих уплате и уплачиваемых налогах и страховых взносах во внебюджетные фонды;
- семейное положение, состав семьи (дата рождения, место работы и должность);
- информация о контактном лице (близкого родственника) в случае чрезвычайной ситуации или экстренной связи (степень родства, фамилия, имя, отчество, контактная информация);
- сведения об учете рабочего времени (время входа и ухода);
- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
- табельный номер/ идентификационный номер/ номер пропуска на территорию работы;
- сведения из резюме;
- сведения больничного листа;
- место работы и занимаемая должность;
- сведения о ДМС;
- статистическая информация;
- информация о владении иностранными языками, степень владения;
- форма обращения;
- сведения по учету рабочего времени (включая отпуска и иные записи об отсутствии на рабочем месте, статус отпуска, число проработанных часов и число часов по договору или стандартам отдела);
- данные о результатах аттестации управления качеством работы;
- план развития;
- потенциал работника;
- готовность к переезду и командировкам;
- данные паспорта для выезда за рубеж;
- дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
- видеоизображение работника;
- фотографическое изображение.
• Родственники работников:
- степень родства;
- фамилия, имя, отчество;
- дата рождения;
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- сведения из свидетельства о браке;
- сведения из свидетельства о рождении.
• Физические лица – представители юридических лиц, индивидуальные предприниматели:
- фамилия, имя отчество;
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- наименование компании, должность;
- дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
• Потребители продукции и их законные представители:
- фамилия, имя, отчество;
- контактная информация (номер телефона и адрес электронной почты или сведения о других способах связи);
- претензии к качеству;
- дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
• Заявители о нежелательных явлениях:
- идентификационный номер;
- страна;
- дата обращения;
- инициалы;
- пол;
- месяц и год рождения;
- возраст;
- сведения о наличии беременности;
- контактная информация (мобильный/домашний телефон, факс и адрес электронной почты или сведения о других способах связи);
- иные сведения, полученные от заявителя;
- торговое наименование продукта, номер серии, срок годности;
- доза, путь (способ) введения;
- дата начала/окончания применения или длительность лечения.
• Участники исследований безопасности и эффективности лекарственных препаратов – пациенты:
- возраст;
- пол;
- результаты исследования.
• Посетители интернет-сайтов Оператора;
- пользовательские данные (тип и версия ОС; тип и версия Браузера; путь пользователя (источник, иной сайт, реклама); язык ОС и Браузера; история посещения сайта Оператора);
- агрегированные данные предоставляемые интернет-сервисами аналитики, не содержащие информации, с помощью которой можно идентифицировать субъекта персональных данных.
• Физические лица, взаимодействующие с оператором по вопросам научной деятельности – специалисты здравоохранения:
- фамилия, имя, отчество;
- дата и место рождения;
- код по ОКАТО;
- адрес места регистрации и фактического проживания;
- место работы, должность;
- номера телефонов и адреса электронной почты, или сведения о других способах связи;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- реквизиты страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- код ИФНС;
- сведения о резидентстве;
- банковские реквизиты для оплаты услуг/ работ по договору ГПХ (в том числе номер лицевого счета);
- форма обращения;
- данные оценочного характера;
- пол;
- гражданство;
- адрес места жительства (адрес регистрации, фактического проживания);
- сведения о постоянном проживании на территории Крыма;
- данные заграничного паспорта;
- сведения документов об образовании и о повышении квалификации, сертификации;
- сведения о языках: степень знания языка, предпочитаемый язык общения;
- сведения об учёных званиях и степенях, научных трудах и изобретениях;
- номер лицензии;
- сведения в Резюме исследователя: участие в клинических исследованиях, количество публикаций, научные работы;
- сведения о медицинском стаже работы;
- специальность, дополнительная специальность, классификация, идентификатор;
- сведения о трудовой деятельности, включая опыт (места работы, занимаемые должности, периоды работы) и стаж работы;
- сведения из отчета по раскрытию информации в России;
- сведения финансового характера: вид договора, вид авторского договора, начисления и выплаты, сведения о подлежащих уплате и уплачиваемых налогах, отнесение расходов к деятельности ЕНВД, способ отражения в бух. учете, код вычета;
- подпись;
- группа доступа физического лица;
- сведения о социальных и иных льготах при начислении пособий;
- фотоизображение;
- дополнительные сведения, предусмотренные условиями договора и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
6.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
6.5. В случае необходимости обработки специальной категории персональных данных Оператор обрабатывает специальные категории персональных данных при условии письменного согласия соответствующих субъектов персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.
7. Порядок и условия обработки персональных данных
7.1. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных, за исключением установленных законодательством Российской Федерации случаев, когда обработка персональных данных может осуществляться без такого согласия.
7.2. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие свободно, своей волей и в своем интересе.
7.3. Согласие дается в любой позволяющей подтвердить факт его получения форме. В случаях, предусмотренных законодательством Российской Федерации, согласие оформляется в письменной форме.
7.4. Согласие может быть отозвано путем направления уведомления в адрес Оператора.
7.5. Обработка персональных данных Оператором осуществляется следующими способами:
1) неавтоматизированная обработка персональных данных;
2) автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
3) смешанная обработка персональных данных.
7.6. Оператором не принимаются решения, порождающее юридические последствия в отношении субъектов персональных данных или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
7.7. Обработка персональных данных Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
7.8. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам в порядке и на условиях, предусмотренных действующим законодательством Российской Федерации.
7.9. В случаях необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Оператор для достижения целей обработки вправе передавать персональные данные уполномоченным третьим лицам в порядке и на условиях, предусмотренных действующим законодательством Российской Федерации.
7.10. Оператор производит трансграничную (на территорию иностранного государства иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных в порядке и на условиях, предусмотренных действующим законодательством Российской Федерации.
7.11. Оператором создаются источники персональных данных работников Оператора (справочники, адресные книги), доступные работникам Оператора.
7.12. Оператор установил следующие условия прекращения обработки персональных данных:
1) достижение целей обработки персональных данных и/или истечение сроков хранения;
2) утрата необходимости в достижении целей обработки персональных данных;
3) предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
4) невозможность обеспечения правомерности обработки персональных данных;
5) отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных или в связи с требованиями действующего законодательства Российской Федерации;
6) истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных; 7) иные основания, предусмотренные действующим законодательством Российской Федерации.
7.13. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.14. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
8. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
8.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
1) назначением ответственного лица за организацию обработки персональных данных;
2) осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним иным нормативным правовым актам, локальным актам Оператора;
3) ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и (или) обучением указанных работников;
4) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
5) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
6) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7) учетом машинных носителей персональных данных;
8) выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
9) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
11) контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
12) иными предусмотренными действующим законодательством Российской Федерации способами, методами и требованиями.
8.2. Оператор в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
9. Лицо, ответственное за организацию обработки персональных данных
9.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки персональных данных, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и локальными актами Оператора.
9.2. Назначение лица, ответственного за организацию обработки персональных данных, и освобождение от указанных обязанностей осуществляется приказом генерального директора Оператора. При назначении лица, ответственного за организацию обработки персональных данных, учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
9.3. Лицо, ответственное за организацию обработки персональных данных:
1) организует осуществление внутреннего контроля над соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных или обеспечивает доведение;
3) осуществляет контроль над приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.
9.4. Контактные данные лица, ответственного за организацию обработки персональных данных в АО «БАЙЕР»: тел. +7 (495) 234-20-00; адрес: 107113, Москва, 3-я Рыбинская ул., дом 18, строение 2.
9.5. Обращения (запросы) субъектов персональных данных по вопросам обработки персональных данных в АО «БАЙЕР» направлять на адрес электронной почты pd.bayru@bayer.com или почтовый адрес: 107113, г. Москва, Сокольнический Вал, д. 24 корп. 3, а/я 19.
10. Отзыв согласия, актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
10.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.
10.2. По запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта.
10.3. Если иное не предусмотрено законодательством Российской Федерации, запрос должен содержать:
1) номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя,
2) сведения о дате выдачи указанного документа и выдавшем его органе,
3) сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором,
4) подпись субъекта персональных данных или его представителя.
10.4. Запрос может быть направлен в электронной форме, форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.5. Если в запросе субъекта персональных данных не отражены все необходимые для подтверждения прав субъекта сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется уточняющий запрос и/или мотивированный отказ соответственно.
10.6. В порядке, предусмотренном п. 11.3, субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.7. Субъект вправе отозвать согласие на обработку его персональных данных, обратившись к Оператору. Такой отзыв должен содержать сведения, позволяющие достоверно установить личность такого субъекта и факт обработки его персональных данных Оператором.
10.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия, персональные данные подлежат уничтожению, если:
1) иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
2) оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
3) иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных или действующим законодательством Российской Федерации.
11. Ответственность
11.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами (соглашениями), регламентирующими правоотношения Оператора с третьими лицами.
12. Доступ к Политике
12.1. Действующая редакция Политики хранится по адресу: 107113, г. Москва, 3-я Рыбинская ул., дом 18, строение 2.
12.2. Электронная версия действующей редакции Политики общедоступна на сайте Оператора в сети «Интернет» по адресу https://www.bayer.ru/ru/privacy-statement
13. Внесение изменений
13.1. Политика утверждается и вводится в действие Генеральным директором Оператора.
13.2. Оператор имеет право вносить изменения в Политику. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
13.3. Политика пересматривается на регулярной основе – не реже одного раза в 3 года с момента проведения предыдущего пересмотра Политики. Политика заново утверждается, если по результатам пересмотра в Политику вносятся изменения.
13.4. Политика может пересматриваться и заново утверждаться ранее срока, указанного выше, по мере внесения изменений:
1) в нормативные правовые акты в сфере персональных данных;
2) в локальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности персональных данных.
13.5. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства Российской Федерации.
Контактная информация:
Контактные данные лица, ответственного за организацию обработки персональных данных в АО «БАЙЕР»:
- тел. +7 (495) 234-20-00;
- адрес: 107113, Москва, 3-я Рыбинская ул., дом 18, строение 2.
Обращения (запросы) субъектов персональных данных по вопросам обработки персональных данных в АО «БАЙЕР» направлять на:
- адрес электронной почты pd.bayru@bayer.com;
- почтовый адрес: 107113, г. Москва, Сокольнический Вал, д. 24 корп. 3, а/я 19.