1.1. Настоящая Политика об обработке персональных данных (далее – Политика) разработана и применяется в Обществе с ограниченной ответственностью «Коммуникационное агентство «Эр Экс Код» (далее – Общество) в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон «О персональных данных»).
1.2. Настоящая Политика определяет политику Общества в отношении обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Обществу (далее – субъекты персональных данных) с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
1.3. Основные понятия:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Очная коммуникация - процесс передачи/обмена информации посредством прямого визуального контакта/взаимодействия с ЦА (визитная активность, ивент-мероприятия и т.п.);
Дистанционная коммуникация - процесс опосредованной передачи/обмена информации посредством интерактивных электронных средств коммуникации: Интернет-инструментарий, телефонная/мобильная связь, электронная почта, смс-сообщения и т.п..
Целевая аудитория (ЦА) - работники сферы здравоохранения, медицины и фармацевтики – субъекты персональных данных.
1.4. Политика разработана с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Общества, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.
1.4.1. Целью обработки персональных данных:
- осуществление своей деятельности в соответствии с уставом Общества
- создание Обществом контактной базы целевой аудитории для реализация Обществом своих задач в рамках заявленной экономической хозяйственной деятельности при реализации проектов продвижения продукции/услуг Общества/Клиентов Общества, проведения информационных и просветительских кампаний и (или) организации Обществом мероприятий, в том числе, научных, просветительских, информационных, познавательных, корпоративных, рекламных, социальных мероприятий, в том числе и онлайн мероприятиях (вебинары, тренинги, конференции, симпозиумы, форумы, семинары, лекции и т.п.).
- продвижение товаров, работ, услуг фармпроизводителей, аптечных организаций и иных Клиентов Общества среди целевой аудитории путем осуществления прямых контактов с потенциальным участником с помощью средств очной коммуникации.
- продвижение товаров, работ, услуг фармпроизводителей, аптечных организаций и иных Клиентов Общества среди целевой аудитории путем осуществления опосредованных контактов с потенциальным участником с помощью средств дистанционной коммуникации.
- предоставления научной, медицинской и любой другой информации о продукции
фармацевтической отрасли, их свойствах, способах применения, о проблематике заболеваний;
- предоставления актуальной информации о продукции фармацевтической отрасли, новинках, изменениях;
- предоставления информации различного характера о заболеваниях и/или о способах и средствах лечения, о снижении риска заболеваемости;
- предоставления материалов в письменной, печатной, электронной, аудио-, видео-, устной и любой другой соответствующей форме, посредством электронной почты, обычной или курьерской почты, телефонных звонков, СМС сообщений, посредством интернет-коммуникаций и/или любым иным соответствующим способом;
- приглашения и участия в научных, отраслевых, специализированных, информационных, тренинговых и иных очных и/или онлайн мероприятиях, направленных на повышение профессионального уровня и практических навыков соответствующих специалистов;
- поддержания деловых контактов со специалистами здравоохранения, медицины и фармацевтики; проведения рекламных акций;
- обеспечения обратной связи с целевой аудиторией;
- проведения конкурсов, акций, опросов, маркетинговых и статистических исследований;
- формирование баз данных посредством формирования блока данных в программных комплексах (системах) Общества и последующего оказания услуг третьим лицам посредством предоставления доступов к системе, лицензий;
- формирования общедоступных источников персональных данных, в том числе справочников, контактных баз;
- развития деловых отношений с контрагентами путем предоставления информации об услугах или о результатах оказанных услуг;
- обеспечения взаимодействия с контрагентами и исполнения обязательств в рамках заключенных договоров;
- в иных целях в случае, если соответствующие действия Общества не противоречат действующему законодательству, деятельности Общества, и на проведение указанной обработки получено согласие Субъекта персональных данных.
1.5. Действие настоящей Политики не распространяется на отношения:
- возникающие при обработке персональных данных сотрудников Общества, поскольку такие отношения урегулированы отдельным локальным нормативным актом Общества;
- возникающие при обработке персональных данных физических лиц, с которыми у Общества заключены гражданско-правовые договоры оказания услуг/выполнения работ/поставки продукции, поскольку такие отношения урегулированы непосредственно в таких договорах;
- на отношения, на которые Федеральный закон «О персональных данных» не распространяется (п.2 ст.1 Закона).
1.6. Общество осуществляет обработку следующих персональных данных субъектов персональных данных:
- фамилию, имя, отчество;
- дата, месяц, год рождения;
- номер контактного, в том числе мобильного, телефона;
- адрес электронной почты;
- должность (с целью подтверждения принадлежности к целевой аудитории);
- специализация (с целью подтверждения принадлежности к целевой аудитории);
- адрес места работы (с целью подтверждения принадлежности к целевой аудитории);
- сведения об образовании (с целью подтверждения принадлежности к целевой аудитории);
- ученая степень
При получении персональных данных, не указанных в настоящем пункте, такие данные подлежат немедленному уничтожению лицом, непреднамеренно получившим их.
1.7. Общество осуществляет обработку персональных данных Субъекта персональных посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие: - сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
конфиденциальности персональных данных;
3.1. При обработке персональных данных Общество руководствуется следующими принципами:
- законности и справедливости;
- своевременности и достоверности получения согласия субъекта персональных данных на обработку персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3.2. Обработка персональных данных Обществом осуществляется с соблюдением принципов и правил, предусмотренных:
- Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
- Настоящей Политикой;
- Иными нормативными и ненормативными правовыми актами, регулирующими вопросы обработки персональных данных.
4.1. Персональные данные субъектов персональных данных получаются Обществом:
- посредством регистрации субъекта персональных данных на интернет-портале Общества www.pharmvizit.ru или ином интернет-портале Общества, имеющим регистрационную форму, путем прохождения регистрации и проставления соответствующей отметки о согласии на обработку персональных данных для целей участия во всех проекта Общества:
- посредством электронной регистрации субъекта персональных данных при его участие в ивент-мероприятиях Общества путем прохождения электронной регистрации либо регистрации путем заполнения формы регистрации на бумажном носителе;
- посредством предоставления письменного согласия субъекта персональных данных на бумажном носителе во время очной коммуникации путем подписания документа о предоставлении согласия на обработку персональных данных для целей участия во всех проекта Общества;
- путем участия субъекта персональных данных в онлайн мероприятиях интернет-инструментария Общества на сайтах/интернет-порталах Общества;
- при подаче субъектом персональных данных согласия на участие в акциях/мероприятиях Общества;
- посредством подтверждения на участие в проектах Общества при телефонных коммуникациях;
- иными способами, не противоречащими законодательству РФ и требованиям международного законодательства о защите персональных данных.
4.2. Общество получает и начинает обработку персональных данных субъекта с момента получения его согласия. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения субъектом персональных данных конклюдентных действий, в том числе:
- согласие считается полученным с момента регистрации и (или) с момента подписания письменного документа и(или) устного подтверждения участия в проекта по телефонной связи непосредственно перед началом проекта и/или направлением ответного смс-сообщения при участии в проекте и/или направлением ответного e-mail сообщения при участии в проекте.
Согласие действует:
- до момента ликвидации/реорганизации Общества;
- до момента отмены (отзыва) субъектом персональных данных регистрации на сайте Общества путем направления сообщения по электронной почте по адресу, указанному на соответствующих интернет-порталах Общества или до момента направления субъектом персональных данных Обществу письменного отзыва согласия на обработку персональных данных по адресу места нахождения Общества. Предварительно субъект персональных данных может отозвать согласие по телефону, указанному на сайте Общества и/или иных интренет-порталах Общества.
Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, указанных в Федеральном законе «О персональных данных».
4.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Общество должно прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва.
4.4. В случаях, предусмотренных Федеральным законом «О персональных данных», обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных:
5.1. Ответственным за организацию обработки является единоличный исполнительный орган Общества.
5.2. Обработку персональных данных осуществляют сотрудники подразделений Общества, реализующих услуги очной и дистанционной коммуникации. Данные сотрудники Общества, должны быть ознакомлены до начала работы:
Общество вправе организовывать обучение работников. Сотрудники Общества имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных служебных обязанностей и заданий.
5.3. При обработке персональных данных Общество применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии действующим законодательством РФ, в том числе:
5.4. Режим конфиденциальности персональных данных Общество обеспечивает в соответствии с политикой Общества о конфиденциальности.
5.5. Внутренний контроль соблюдения сотрудниками Общества требований законодательства РФ и норм международного законодательства, а также положений локальных нормативных актов Общества организован Обществом в соответствии с настоящей Политикой об обработке персональных данных.
5.6. Оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Обществом требований Закона об обработке персональных данных, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса РФ.
5.7. Опубликование или обеспечение иным образом неограниченного доступа к настоящей Политике, иным документам, определяющим политику Общества в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Общество осуществляет посредством размещения на электронном сайте Общества www. pharmvizit.ru.
5.8. Доступ к персональным данным Субъектов имеют сотрудники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей и заданий – сотрудники реализующих подразделений Общества. В случае если Общество поручает обработку персональных данных третьим лицам, не являющимся его сотрудниками, на основании заключенных договоров (либо иных оснований), в силу которых они должны иметь доступ к персональным данным субъектов, соответствующие данные предоставляются Обществом только после подписания с лицами, осуществляющими обработку персональных данных по поручению Общества, соответствующего документа, содержащего условия конфиденциальности.
6.1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федерального закона «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных». Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Сведения должны быть предоставлены субъекту персональных данных Обществом в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.3. Сведения предоставляются Обществом субъекту персональных данных или его представителю по нотариальной доверенности при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.4. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса.
6.5. Субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 6.4. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
6.6. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям настоящей Политики, в порядке, установленном Законом о персональных данных. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
6.7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ.
6.8. Общество при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных обязано:
7.1. Обработку персональных данных осуществляют структурные подразделения Общества, выполняющие реализацию услуг очной и дистанционной коммуникации с целевой аудиторией.
7.2. Указанные структурные подразделения находятся в непосредственном подчинении единоличного исполнительного органа Общества.
7.3. Руководители указанных структурных подразделений:
1) доводят до сведения работников Общества положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организуют обработку персональных данных сотрудниками Общества;
3) организуют прием и обработку обращений и запросов субъектов персональных данных или их представителей.
7.4. Контроль исполнения сотрудниками Общества требований законодательства РФ и положений локальных нормативных актов Общества в сфере персональных данных осуществляет единоличный исполнительный орган Общества.
8.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
8.2. Общество обеспечивает права субъектов персональных данных в порядке, установленном Федеральным законом «О персональных данных».
8.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной нотариально. Копия доверенности представителя хранится Обществом не менее срока хранения персональных данных.
8.4. Сведения, указанные в ч. 7 ст. 22 Федерального закона «О персональных данных», предоставляются субъекту персональных данных структурным подразделением Общества, занимающимся обработкой персональных данных, в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге.
8.5. Сведения, указанные в ч. 7 ст. 22 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении Обществом соответствующего запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя.
8.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе на основании ч. 8 ст. 22 Федерального закона «О персональных данных».
8.7. Общество обязано немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, осуществляемую на основании ч. 1 ст. 15 Федерального закона «О персональных данных».
8.8. Общество обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных, по месту своего расположения в рабочее время.
8.9. Общество в течение 10 (Десяти) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязано уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. Уведомление может быть осуществлено Обществом в любой доступной форме, позволяющей подтвердить факт уведомления субъекта персональных данных (посредством электронной почты, телеграфным сообщением с уведомлением о вручении или почтовым сообщением с уведомлением о вручении, иное). Выбор способа направления уведомления остается за Обществом.
9.1. Хранение персональных данных осуществляется в соответствии с согласием субъекта персональных данных и в течение всего срока ведения Обществом хозяйственно-экономической деятельности либо в течение срока, указанного в письменном согласии соответствующего субъекта персональных данных.
9.2. Хранение персональных данных, цели обработки которых различны, должно осуществляться раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Общества.
9.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных.
9.4. Персональные данные, предоставляемые субъектами персональных данных на бумажном носителе, хранятся на бумажных носителях в структурных подразделениях, реализующих услуги очной и дистанционной коммуникации.
10.1. Основной задачей обеспечения безопасности персональных данных при их обработке Обществом является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки. Общество принимает необходимые и достаточные меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
10.2. Обеспечение безопасности персональных данных достигается, в частности:
10.3. Доступ сотрудников Общества к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных актов Общества.
10.4. Мероприятия по защите персональных данных реализуются Обществом в следующих направлениях:
1) предотвращение утечки информации, содержащей персональные данные, по техническим каналам связи и иными способами;
2) предотвращение несанкционированного доступа к содержащей персональные данные информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
3) защита от вредоносных программ;
4) обеспечение безопасного межсетевого взаимодействия;
8) обнаружение вторжений и компьютерных атак;
9) осуществления контроля за реализацией системы защиты персональных данных.
10.5. Мероприятия по обеспечению безопасности персональных данных включают в себя:
1) разграничение доступа пользователей информационных систем персональных данных и обслуживающих информационные системы персональных данных работников к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
2) регистрацию действий пользователей и обслуживающих информационные системы персональных данных работников, контроль несанкционированного доступа и действий пользователей и обслуживающих работников, а также третьих лиц;
3) предотвращение внедрения в информационные системы вредоносных программ, анализ принимаемой по информационно-телекоммуникационным сетям (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
4) размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
5) организацию физической защиты помещений и технических средств, позволяющих осуществлять обработку персональных данных;
6) резервирование технических средств, дублирование массивов и носителей информации;
7) реализацию требований по безопасному межсетевому взаимодействию информационных систем;
8) использование защищенных каналов связи, защита информации при ее передаче по каналам связи;
9) обнаружение вторжений в информационные системы, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
10.6. С целью поддержания состояния защиты персональных данных на надлежащем уровне Обществом осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям. Внутренний контроль включает:
1) мониторинг состояния технических и программных средств, входящих в состав средств защиты персональных данных;
2) контроль соблюдения требований по обеспечению безопасности персональных данных (требований нормативных правовых актов и локальных нормативных актов в области обработки и защиты персональных данных, требований договоров).
11.1. При внесении изменений в настоящую политику Общество размещает его новую редакцию. Зарегистрированные участники самостоятельно знакомятся с новой редакцией Политик