Политика обработки и обеспечения безопасности персональных данных

на сайте https://proartprogram.ru/

1.     Общие положения и термины


1.1. Настоящая Политика обработки и обеспечения безопасности персональных данных (далее – «Политика») субъектов персональных данных на сайте https://proartprogram.ru/  (далее – «Сайт») принята и действует в АО «Р-Фарм» (адрес местонахождения: РФ, 123154, г. Москва, ул. Берзарина, д. 19, к. 1, ИНН/КПП 7726311464 / 773401001, ОГРН 1027739700020) (далее – «Оператор»).
1.2. Политика определяет общие принципы и регулирует порядок обработки персональных данных субъектов персональных данных на Сайте, а также меры по обеспечению безопасности персональных данных.
1.3. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами Российской Федерации, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.4. При использовании Сайта и предоставлении своих персональных данных Оператору субъект персональных данных действует добровольно и дает свое согласие на обработку своих персональных данных в соответствии процессами обработки, предусмотренными Политикой.
1.5. Настоящая Политика является общедоступной и подлежит размещению на Сайте Оператора и вступает в силу с момента ее опубликования. Политика распространяется на отношения в области обработки и обеспечения безопасности персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.6. Оператором также утверждена Политика, декларирующая концептуальные основы деятельности Оператора по организации обработки и обеспечении безопасности ПД в целом, ознакомиться с которой можно по ссылке
1.7. Основные понятия:
«Информационная система персональных данных» – совокупность персональных данных, содержащихся в базах данных, и обеспечивающих их обработку информационных технологий и технических средств.
«Обработка персональных данных» – осуществление любых действий (операций) или совокупности действий (операций) в отношении персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление и изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, как с использованием, так и без использования средств автоматизированной̆ обработки персональных данных.
«Оператор» - лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Оператором является АО «Р-Фарм».
«Обработчик» - лицо, осуществляющее обработку персональных данных по поручению Оператора.Обработчиком является ООО «Олекстра».
«Персональные данные» – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
«Программа» - программа преференции для Пациентов с ревматоидным артритом «ПРОАРТ», целью которой является обеспечение непрерывного доступа к терапии ревматоидного артрита генно-инженерным биологическим Препаратом. Программа предоставляет Участнику возможность оформить предварительный Заказ Препарата на Сайте в удобную Партнёрскую Аптеку и приобрести Препарат на Специальных условиях.  
«Пользователь» – физическое лицо, которое осуществляет фактическое использование Сайта или его отдельных сервисов и функций любым способом. Для целей настоящих Правил Пользователем является: (1) Посетитель Сайта; (2) Пациент; (3) Участник Программы.
«Партнёрская Аптека» - юридическое лицо или индивидуальный предприниматель, имеющее лицензию на осуществление розничной торговли (отпуск) лекарственных препаратов населению, принимающие участие в Программе. Перечень Аптек, участвующих в Программе, размещен по ссылке. 
«Посетитель» – это Пользователь, который не предоставил данные в рамках регистрационных форм, расположенных на Сайте.
«Пациент» – Пользователь, который предоставил данные в рамках регистрационных форм, расположенных на Сайте, принявший независимое решение о выборе Препарата и у которого имеется действующий рецепт на соответствующий Препарат, выписанный врачом по рецепту МНН.
«Участник» – Пациент, принявший независимое решение о выборе Препарата, соответствующего выписанному врачом по рецепту МНН, успешно прошедший регистрацию для участия в Программе в соответствии с порядком, предусмотренным настоящими Правилами, и получивший доступ к личному кабинету. Участником может быть дееспособное совершеннолетнее лицо (достигшее возраста 18 лет), являющееся гражданином Российской Федерации.
«Личный кабинет» - раздел Сайта, доступный только Участникам Программы, в который они могут попасть путем ввода номера телефона, указанного при регистрации и ввода одноразового пароля, отправленного на этот номер. В личном кабинете доступны: заказ препарата, загрузка нового рецепта, просмотр статуса и истории заказов,
«Сайт» – веб-сайт https://proartprogram.ru/ и/или сервисы, службы, продукты и приложения, размещенные на веб-сайте, принадлежащем Оператору.
«Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники.
«Предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
«Блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения
персональных данных).
«Уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
«Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
«Трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.     Категории субъектов, чьи персональные данные обрабатываются Оператором

 
В рамках настоящей Политики Оператор обрабатывает персональные данные следующих субъектов персональных данных (ранее и далее при совместном упоминании – «Пользователи»):
· Посетители;
· Пациенты;
· Участники.

3.     Цели обработки персональных данных


3.1. Оператор обрабатывает персональные данные Пользователей Сайта с целью предоставления функционала Сайта, в части касающейся:
3.1.1. выполнения сайтом важнейших функций и задач и обеспечения дополнительной безопасности;
3.1.2. повышения удобства использования Сайта.
3.2. Оператор обрабатывает персональные данные Пациентов с целью их регистрации в Программе, в части касающейся:
· осуществления эффективного информационного (коммуникационного) взаимодействия со всеми заинтересованными лицами, включая направление информационных сообщений;
· оформление и применение электронных подписей;
· подписания Соглашения об электронном взаимодействии.
3.3. Оператор обрабатывает персональные данные Участников с целью их участия в Программе, в том числе для осуществления эффективного информационного (коммуникационного) взаимодействия со всеми заинтересованными лицами, включая направление информационных сообщений;
3.4. Оператор обрабатывает персональные данные Участников с целью их входа в личный кабинет.

4.     Категории и перечень персональных данных, обрабатываемые Оператором

 
4.1. С целью, указанной в п.3.1, Оператор обрабатывает следующую информацию,  собираемую автоматически при посещении Сайта посредством файлов куки:
· сведения о файлах куки;
· IP-адрес Пользователя;
· сведения о веб-браузере (тип, версия, языковые настройки);
· сведения о пользовательском устройстве (тип устройства, операционная система, разрешение экрана);
· сведения о подключении к сети «Интернет» (в том числе данные о провайдере, приблизительном географическом местоположении на уровне региона/города).
Политика обработки файлов куки размещена здесь.
4.2. Оператор обрабатывает следующие персональные данные, которые Пациенты предоставляют Оператору посредством заполнения на Сайте веб-формы «Форма для регистрации» в целях, указанных в п.3.2:
· фамилия, имя, отчество;
· половая принадлежность;
· дата рождения;
· контактные (коммуникационные) данные;
· сведения о документе, удостоверяющем личность;
· сведения об адресе регистрации;
· электронная подпись;
· сведения о персональных целевых идентификаторах.
4.3. С целью, указанной в п. 3.3, Оператор обрабатывает следующие персональные данные, которые Пациенты предоставляют Оператору посредством заполнения на Сайте веб-формы «Форма Участника»:
· фамилия, имя, отчество;
· скан/фотография рецепта;
· общие сведения о состоянии здоровья;
· сведения о нежелательных явлениях/реакциях или особых ситуациях в отношении медицинских изделий;
· контактные (коммуникационные) данные;
· сведения о приобретении и использовании препарата;
· электронная подпись;
· сведения о персональных целевых идентификаторах.
4.4. С целью, указанной в п. 3.4, Оператор обрабатывает следующие персональные данные, которые Участник предоставляют Оператору посредством заполнения на Сайте формы «Вход в Личный кабинет»:
· контактные (коммуникационные) данные;
· сведения о персональных целевых идентификаторах.
4.5. Оператор в целях, указанных в п. 3.3, обрабатывает следующие персональные данные Участника,  которые предоставляются в личном кабинете в форме «Загрузка нового рецепта»:
· фамилия, имя, отчество;
· скан/фотография рецепта;
· общие сведения о состоянии здоровья;
· сведения о нежелательных явлениях/реакциях или особых ситуациях в отношении медицинских изделий;
· контактные (коммуникационные) данные;
· сведения о приобретении и использовании препарата;
· электронная подпись.
· сведения о персональных целевых идентификаторах.
4.6. Для всех перечисленных выше целей обработки персональных данных Оператор обрабатывает следующие категории персональных данных:
· персональные данные, не относящиеся к специальной категории персональных данных или к биометрическим персональным данным (иные категории персональных данных);
· специальные категории персональных данных (данные о состоянии здоровья).
 

5.     Принципы, условия и способы обработки персональных данных


5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных.
5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационных системах персональных данных.
5.4. Хранение персональных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.5. Персональные данные субъектов могут быть получены, а также могут проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
5.6. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
5.7. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.8. Оператором определен перечень действий с персональными данными по отношению к целям обработки персональных данных:
· К целям, указанным в п.3.1-3.3: сбор, получение, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (включая предоставление и доступ) третьим лицам, блокирование, удаление, уничтожение, архивирование персональных данных.
5.9. Оператором определен срок обработки персональных данных по отношению к целям обработки персональных данных, указанным в п. 3.1, в соответствии с разделом 9 Политики обработки файлов куки. К целям, указанным в п.3.2 – 3.4 на период участия в Программе, а также в течение 3 (трёх) лет после прекращения указанных взаимодействий и (или) деятельности, если предусмотренные цели не будут достигнуты ранее или в случае утраты необходимости в достижении целей.
5.10. Обработка персональных данных осуществляется, в том числе путем:
- получения персональных данных в электронном виде через формы: «Форма для регистрации», «Форма участника», «Загрузка нового рецепта» на сайте Программы,  непосредственно с согласия Пользователя на обработку его персональных данных;
- внесения персональных данных в информационные системы Обработчика.
5.11. В соответствии с целями обработки персональных данных, Оператор вправе передавать (поручать) персональные данные следующим третьим лицам:
· ООО «Олекстра» (ИНН: 7702782873; ОГРН 1127746115617, адрес места нахождения: Российская Федерация, 121351, г. Москва, ул. Партизанская, дом 25), оказывающему Оператору услуги по реализации программы «ПРОАРТ». ООО «СМС-центр» (ИНН: 7724805644, ОГРН: 1117746756489, адрес места нахождения: Российская Федерация, 123112, г. Москва, вн.тер.г. Муниципальный Округ Пресненский, наб Пресненская, д. 6, стр. 2, помещ. 5301)  - передача информации о номерах телефонов для осуществления СМС-уведомлений в рамках Программы «ПРОАРТ»;
· АО «Корп Софт» (ИНН: 7743813810, ОГРН: 1117746256110, адрес места нахождения: Российская Федерация, 127473, г. Москва, Селезневская ул., дом 32, этаж 5, помещение I, комната 9) - передача всех вышеуказанных персональных данных для обеспечения участия Субъекта персональных данных в Программе;
· ООО «Яндекс. Облако» (ИНН: 7704458262, ОГРН: 1187746678580, адрес места нахождения: Российская Федерация, 119021, г. Москва, ул. Льва Толстого, д.16, помещ. 528) - передача всех вышеуказанных персональных данных для обеспечения участия Субъекта персональных данных в Программе.
5.12. В соответствии с требованиями Закона о персональных данных, при сборе персональных данных Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
5.13. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность Оператора не раскрывать третьим лицам и не распространять персональные данные без предварительного согласия субъекта, если иное не предусмотрено законодательством РФ.
5.14. Настоящая Политика не предусматривает возможность трансграничной передачи Оператором персональных данных.
5.15. Обработка персональных данных Оператором допускается при наличии согласия субъекта на обработку его персональных данных, а также для выполнения функций, полномочий и обязанностей, которые были возложены на Оператора законодательством РФ.
5.16. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.17. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.18. Обработка персональных данных осуществляется в соответствии со следующими принципами:
- абсолютная законность действий;
- ограничение обработки при достижении заранее определенных целей;
- обработка только необходимых для определенных целей персональных данных;
- использование точных, достаточных и актуальных персональных данных и проведение работ по их актуализации;
- персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, ровно столько, сколько этого требуют цели обработки персональных данных (если не установлен иной срок хранения);
- все персональные данные уничтожаются по достижению целей обработки или при утрате необходимости достижения таких целей, а также в иных случаях, предусмотренных законодательством РФ.
5.19. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
5.20. Обработка персональных данных Оператором допускается в следующих случаях:
- при наличии согласия субъекта на обработку его персональных данных;
- для выполнения функций, полномочий и обязанностей, которые были возложены на Оператора законодательством РФ.

6.     Передача персональных данных


6.1. Оператор может привлекать третьих лиц к обработке персональных данных путем поручения третьим лицам обработки персональных данных и (или) путем передачи персональных данных третьим лицам без поручения обработки персональных данных.
6.2. Привлечение третьих лиц к обработке персональных данных может осуществляться только при условии обработки такими лицами персональных данных в минимально необходимом составе и исключительно для достижения предусмотренных Политикой целей обработки персональных данных, а также при условии обеспечения такими лицами конфиденциальности и безопасности персональных данных при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства о персональных данных). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом РФ от 27.07.2006 № 152‑ФЗ «О персональных данных». В поручении на обработку персональных данных Оператор определяет перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, определяет цели обработки персональных данных, устанавливает обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указывает требования к обеспечению безопасности обрабатываемых персональных данных
6.3. Фактический состав привлекаемых Оператором третьих лиц к обработке персональных данных определяется исходя из сложившихся отношений между Оператором и субъектом персональных данных, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом персональных данных, согласия(ий) субъекта персональных данных на обработку персональных данных.

7.     Прекращение обработки персональных данных

 
7.1. Оператор прекращает обработку персональных данных:
- при достижении целей обработки или при утрате необходимости в достижении указанных целей;
- в случае выявления неправомерной обработки персональных данных;
- после окончания срока действия предоставленных субъектом согласий;
- в случае отзыва согласия на обработку его персональных данных путем нажатия кнопки «Отозвать согласие» на Сайте, если иное не предусмотрено действующим законодательством РФ;
- при ликвидации Оператора.

8.     Конфиденциальность персональных данных

 
8.1. Оператор обеспечивает конфиденциальность обрабатываемых им персональных данных в порядке, предусмотренном законодательством РФ.
8.2. Оператор вправе разместить свои информационные системы персональных данных на хостинге или в Дата-центре иных лиц. Если договором с Дата-центром, обеспечивающим услуги хостинга, доступ персонала Дата-центра к информационной системе персональных данных Оператора не допускается, данное размещение не рассматривается как поручение Дата-центру обработки персональных данных и не требует согласия субъектов персональных данных. Дата-центры, которыми может воспользоваться Оператор, находятся на территории Российской Федерации
8.3. Если обработку персональных данных осуществляет третье лицо по поручению Оператора, ответственность за действия третьего лица перед субъектом персональных данных несет сам Оператор. Лицо, непосредственно осуществляющее обработку персональных данных, несет, в свою очередь, ответственность перед Оператором.

9.     Права субъектов персональных данных и обязанности Оператора


9.1. Субъект персональных данных имеет право получать информацию, которая касается обработки их персональных данных. Они могут требовать их уточнения, блокирования или уничтожения, а также отозвать свое согласие на обработку персональных данных.
9.2. Субъект персональных данных имеет право на доступ к его персональным данным и следующим сведениям:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим
Федеральным законом;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- обращение к Оператору и направление ему запросов;
- обжалование действий или бездействия Оператора.
9.3. Оператор обязан:
- при сборе персональных данных предоставить информацию об обработке персональных данных;
- в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
- при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
9.4. По вопросам, предусмотренным п. 9.1 настоящей Политики, субъект может обратиться к Оператору, указав тему обращения, путем направления сообщения Оператору на электронный адрес: dpo@rpharm.ru.
9.5. Чтобы обеспечить защиту прав и свобод субъектов, по запросу субъекта Оператор:
- в течение 10 (десяти) рабочих дней с момента получения запроса подтверждает обработку персональных данных, и предоставляет возможность ознакомиться с ними, если это не противоречит законодательству РФ;
- обязан сообщить о составе персональных данных и источнике их получения, если иной порядок предоставления таких данных не предусмотрен законодательством РФ;
- сообщает субъекту о правовых основаниях, целях, сроках и способах обработки его персональных данных;
- в течение 7 (семи) рабочих дней с момента получения подтверждения актуализирует персональные данные, если они являются неполными, неточными или неактуальными;
- сообщает субъекту об осуществленной или о предполагаемой трансграничной передаче его персональных данных;
- сообщает субъекту наименование и местонахождение организаций, которые имеют или могут получить доступ к его персональным данным, а также которым может быть поручена их обработка;
- уведомляет субъекта о порядке осуществления его прав при обработке персональных данных;
- в течение 30 (тридцати) календарных дней с момента получения отзыва согласия прекращает обработку персональных данных, если для дальнейшей обработки персональных данных не будет правовых оснований, предусмотренных законодательством РФ;
- прекращает обработку персональных данных, если будет подтверждено, что Оператор их обрабатывает неправомерно, и уведомляет субъекта о предпринятых мерах;
- блокирует персональные данные, если субъект заявляет о неправомерной обработке персональных данных либо о неточности персональных данных, на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц;
- уничтожает персональные данные субъекта, если будет подтверждено, что они незаконно получены или не соответствуют заявленным целям обработки, в течение 10 (десяти) рабочих дней с даты получения соответствующего подтверждения и уведомляет субъекта о предпринятых мерах;
- отвечает на вопросы субъекта, касающиеся обработки персональных данных субъекта.

10.  Безопасность и защита персональных данных

 
10.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими мерами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
· назначением лица, ответственного за организацию обработки ПД, а также назначением лиц(а), ответственных(ого) за обеспечение безопасности ПД при их обработке в ИСПД (если применимо);
· изданием документов, определяющих политику Оператора в отношении обработки ПД, локальных актов Оператора по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов Оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством о ПД полномочия и обязанности;
· осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным актам Оператора;
· осуществлением оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случае нарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
· ознакомлением лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных лиц;
· определением угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД;
· применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
· применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД;
· применением для уничтожения ПД, прошедших в установленном порядке процедуру оценки соответствия СЗИ, в составе которых реализована функция уничтожения информации;
· оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
· определением мест хранения материальных (в том числе машиночитаемые) носителей ПД, обеспечением учета и сохранности носителей ПД, исключением несанкционированного доступ к носителям ПД, а также раздельным хранением ПД (материальных носителей), обработка которых осуществляется в различных целях;
· недопущение объединения баз с ИСПД или фиксации ПД на одном материальном носителе, если обработка ПД осуществляется в несовместимых между собой целях;
· обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
· восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или иного инцидента;
· установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
· контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД;
· установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором к автоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ПД для иных лиц;
· информированием лиц, привлеченных (допущенных) Оператором к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными актами Оператора;
· организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
· уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ;
10.2. Сведения о средствах (способах) обеспечении безопасности ПД при их обработке:
· формирование модели(ей) актуальных (предполагаемых) угроз безопасности ПД при их обработке в ИСПД;
· разработка на основе модели(ей) угроз системы защиты ПД, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующих уровней защищенности ИСПД;
· установка и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
· обучение лиц, использующих СЗИ, применяемые в ИСПД, правилам работы с ними;
· учет применяемых СЗИ, эксплуатационной и технической документации к ним;
· учет лиц, допущенных к работе с ПД, в том числе в ИСПД;
· контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
· проведение проведения служебных проверок и (или) внутренних расследований по фактам несоблюдения условий хранения материальных (в том числе машиночитаемые) ПД, использования СЗИ, которые могут привести к нарушению конфиденциальности ПД (инциденту с ПД) или другим нарушениям, приводящим к снижению уровня защищенности ПД.
10.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренном законодательством о ПД порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.

 

11.  Актуализация, исправление, удаление и уничтожение

персональных данных, ответы на запросы субъектов

на доступ к персональным данным

 
11.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч.7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
11.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
8.1. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
11.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
11.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
11.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
11.7. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
11.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектов персональных данных.
 

12.  Ссылки на веб-сайты третьих лиц

 
12.1. На Сайте могут быть размещены ссылки, карты, изображения, другие файлы, ведущие на сторонние веб-сайты, не находящиеся под контролем Оператора и обладающие собственными принципами работы с персональными данными. При переходе субъекта персональных данных на сторонний веб-сайт обработка персональных данных субъекта будет осуществляться в соответствии с политикой текущего веб-сайта. Оператор не несет ответственности за безопасность и конфиденциальность любой информации, собираемой сторонними веб-сайтами.

13.  Изменение настоящей Политики. Недействительность отдельных положений настоящей Политики

 
13.1. Оператор оставляет за собой право без предварительного уведомления изменять и обновлять настоящую Политику. При внесении изменений указывается дата последнего обновления (начала применения редакции). Субъектам персональных данных рекомендуется регулярно проверять актуальность настоящей Политики. Продолжая пользоваться Сайтом после изменения настоящей Политики, субъект персональных данных  осознаёт, что, тем самым, соглашается с изменениями в настоящей Политике.
13.2. Если отдельное положение настоящей Политики будет признано или объявлено недействительным или незаконным, оно потеряет свою юридическую силу и не будет подлежать применению, что не повлияет на действительность и юридическую силу самой Политики и других ее положений.

14.  Применимое право, юрисдикция

 
14.1. Все вопросы, касающиеся настоящей Политики, отношений между субъектом персональных данных и Оператором в связи с применением настоящей Политики, использованием Сайта, обработкой персональных данных, регулируется законодательством Российской Федерации. Рассмотрение споров находится в юрисдикции судов Российской Федерации.

15.  Обратная связь

 
15.1. Любые вопросы и предложения в отношении настоящей Политики субъекты персональных данных могут направить на адрес электронной почты: dpo@rpharm.ru или по адресу: РФ, 123154, г. Москва, ул. Берзарина, д. 19, к. 1.