6. Передача персональных данных
6.1. Оператор может привлекать третьих лиц к обработке персональных данных путем поручения третьим лицам обработки персональных данных и (или) путем передачи персональных данных третьим лицам без поручения обработки персональных данных.
6.2. Привлечение третьих лиц к обработке персональных данных может осуществляться только при условии обработки такими лицами персональных данных в минимально необходимом составе и исключительно для достижения предусмотренных Политикой целей обработки персональных данных, а также при условии обеспечения такими лицами конфиденциальности и безопасности персональных данных при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства о персональных данных). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом РФ от 27.07.2006 № 152‑ФЗ «О персональных данных». В поручении на обработку персональных данных Оператор определяет перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, определяет цели обработки персональных данных, устанавливает обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указывает требования к обеспечению безопасности обрабатываемых персональных данных
6.3. Фактический состав привлекаемых Оператором третьих лиц к обработке персональных данных определяется исходя из сложившихся отношений между Оператором и субъектом персональных данных, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом персональных данных, согласия(ий) субъекта персональных данных на обработку персональных данных.
7. Прекращение обработки персональных данных
7.1. Оператор прекращает обработку персональных данных:
- при достижении целей обработки или при утрате необходимости в достижении указанных целей;
- в случае выявления неправомерной обработки персональных данных;
- после окончания срока действия предоставленных субъектом согласий;
- в случае отзыва согласия на обработку его персональных данных путем нажатия кнопки «Отозвать согласие» на Сайте, если иное не предусмотрено действующим законодательством РФ;
- при ликвидации Оператора.
8. Конфиденциальность персональных данных
8.1. Оператор обеспечивает конфиденциальность обрабатываемых им персональных данных в порядке, предусмотренном законодательством РФ.
8.2. Оператор вправе разместить свои информационные системы персональных данных на хостинге или в Дата-центре иных лиц. Если договором с Дата-центром, обеспечивающим услуги хостинга, доступ персонала Дата-центра к информационной системе персональных данных Оператора не допускается, данное размещение не рассматривается как поручение Дата-центру обработки персональных данных и не требует согласия субъектов персональных данных. Дата-центры, которыми может воспользоваться Оператор, находятся на территории Российской Федерации
8.3. Если обработку персональных данных осуществляет третье лицо по поручению Оператора, ответственность за действия третьего лица перед субъектом персональных данных несет сам Оператор. Лицо, непосредственно осуществляющее обработку персональных данных, несет, в свою очередь, ответственность перед Оператором.
9. Права субъектов персональных данных и обязанности Оператора
9.1. Субъект персональных данных имеет право получать информацию, которая касается обработки их персональных данных. Они могут требовать их уточнения, блокирования или уничтожения, а также отозвать свое согласие на обработку персональных данных.
9.2. Субъект персональных данных имеет право на доступ к его персональным данным и следующим сведениям:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим
Федеральным законом;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- обращение к Оператору и направление ему запросов;
- обжалование действий или бездействия Оператора.
9.3. Оператор обязан:
- при сборе персональных данных предоставить информацию об обработке персональных данных;
- в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
- при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
9.4. По вопросам, предусмотренным п. 9.1 настоящей Политики, субъект может обратиться к Оператору, указав тему обращения, путем направления сообщения Оператору на электронный адрес: dpo@rpharm.ru.
9.5. Чтобы обеспечить защиту прав и свобод субъектов, по запросу субъекта Оператор:
- в течение 10 (десяти) рабочих дней с момента получения запроса подтверждает обработку персональных данных, и предоставляет возможность ознакомиться с ними, если это не противоречит законодательству РФ;
- обязан сообщить о составе персональных данных и источнике их получения, если иной порядок предоставления таких данных не предусмотрен законодательством РФ;
- сообщает субъекту о правовых основаниях, целях, сроках и способах обработки его персональных данных;
- в течение 7 (семи) рабочих дней с момента получения подтверждения актуализирует персональные данные, если они являются неполными, неточными или неактуальными;
- сообщает субъекту об осуществленной или о предполагаемой трансграничной передаче его персональных данных;
- сообщает субъекту наименование и местонахождение организаций, которые имеют или могут получить доступ к его персональным данным, а также которым может быть поручена их обработка;
- уведомляет субъекта о порядке осуществления его прав при обработке персональных данных;
- в течение 30 (тридцати) календарных дней с момента получения отзыва согласия прекращает обработку персональных данных, если для дальнейшей обработки персональных данных не будет правовых оснований, предусмотренных законодательством РФ;
- прекращает обработку персональных данных, если будет подтверждено, что Оператор их обрабатывает неправомерно, и уведомляет субъекта о предпринятых мерах;
- блокирует персональные данные, если субъект заявляет о неправомерной обработке персональных данных либо о неточности персональных данных, на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц;
- уничтожает персональные данные субъекта, если будет подтверждено, что они незаконно получены или не соответствуют заявленным целям обработки, в течение 10 (десяти) рабочих дней с даты получения соответствующего подтверждения и уведомляет субъекта о предпринятых мерах;
- отвечает на вопросы субъекта, касающиеся обработки персональных данных субъекта.
10. Безопасность и защита персональных данных
10.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими мерами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
· назначением лица, ответственного за организацию обработки ПД, а также назначением лиц(а), ответственных(ого) за обеспечение безопасности ПД при их обработке в ИСПД (если применимо);
· изданием документов, определяющих политику Оператора в отношении обработки ПД, локальных актов Оператора по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов Оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством о ПД полномочия и обязанности;
· осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным актам Оператора;
· осуществлением оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случае нарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
· ознакомлением лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных лиц;
· определением угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД;
· применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
· применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД;
· применением для уничтожения ПД, прошедших в установленном порядке процедуру оценки соответствия СЗИ, в составе которых реализована функция уничтожения информации;
· оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
· определением мест хранения материальных (в том числе машиночитаемые) носителей ПД, обеспечением учета и сохранности носителей ПД, исключением несанкционированного доступ к носителям ПД, а также раздельным хранением ПД (материальных носителей), обработка которых осуществляется в различных целях;
· недопущение объединения баз с ИСПД или фиксации ПД на одном материальном носителе, если обработка ПД осуществляется в несовместимых между собой целях;
· обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
· восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или иного инцидента;
· установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
· контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД;
· установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором к автоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ПД для иных лиц;
· информированием лиц, привлеченных (допущенных) Оператором к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными актами Оператора;
· организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
· уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ;
10.2. Сведения о средствах (способах) обеспечении безопасности ПД при их обработке:
· формирование модели(ей) актуальных (предполагаемых) угроз безопасности ПД при их обработке в ИСПД;
· разработка на основе модели(ей) угроз системы защиты ПД, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующих уровней защищенности ИСПД;
· установка и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
· обучение лиц, использующих СЗИ, применяемые в ИСПД, правилам работы с ними;
· учет применяемых СЗИ, эксплуатационной и технической документации к ним;
· учет лиц, допущенных к работе с ПД, в том числе в ИСПД;
· контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
· проведение проведения служебных проверок и (или) внутренних расследований по фактам несоблюдения условий хранения материальных (в том числе машиночитаемые) ПД, использования СЗИ, которые могут привести к нарушению конфиденциальности ПД (инциденту с ПД) или другим нарушениям, приводящим к снижению уровня защищенности ПД.
10.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренном законодательством о ПД порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.
11. Актуализация, исправление, удаление и уничтожение
персональных данных, ответы на запросы субъектов
на доступ к персональным данным
11.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч.7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
11.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
8.1. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
11.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
11.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
11.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
11.7. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
11.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектов персональных данных.
12. Ссылки на веб-сайты третьих лиц
12.1. На Сайте могут быть размещены ссылки, карты, изображения, другие файлы, ведущие на сторонние веб-сайты, не находящиеся под контролем Оператора и обладающие собственными принципами работы с персональными данными. При переходе субъекта персональных данных на сторонний веб-сайт обработка персональных данных субъекта будет осуществляться в соответствии с политикой текущего веб-сайта. Оператор не несет ответственности за безопасность и конфиденциальность любой информации, собираемой сторонними веб-сайтами.
13. Изменение настоящей Политики. Недействительность отдельных положений настоящей Политики
13.1. Оператор оставляет за собой право без предварительного уведомления изменять и обновлять настоящую Политику. При внесении изменений указывается дата последнего обновления (начала применения редакции). Субъектам персональных данных рекомендуется регулярно проверять актуальность настоящей Политики. Продолжая пользоваться Сайтом после изменения настоящей Политики, субъект персональных данных осознаёт, что, тем самым, соглашается с изменениями в настоящей Политике.
13.2. Если отдельное положение настоящей Политики будет признано или объявлено недействительным или незаконным, оно потеряет свою юридическую силу и не будет подлежать применению, что не повлияет на действительность и юридическую силу самой Политики и других ее положений.
14. Применимое право, юрисдикция
14.1. Все вопросы, касающиеся настоящей Политики, отношений между субъектом персональных данных и Оператором в связи с применением настоящей Политики, использованием Сайта, обработкой персональных данных, регулируется законодательством Российской Федерации. Рассмотрение споров находится в юрисдикции судов Российской Федерации.
15. Обратная связь
15.1. Любые вопросы и предложения в отношении настоящей Политики субъекты персональных данных могут направить на адрес электронной почты: dpo@rpharm.ru или по адресу: РФ, 123154, г. Москва, ул. Берзарина, д. 19, к. 1.