Политика по обработке и защите персональных данных

1.1. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г., Федеральным законом Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г. (далее «Закон о персональных данных»), Указом Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. и другими нормативными правовыми актами в сфере защиты персональной информации.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в ООО «Амджен» (далее – «Общество», «Оператор»), в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3. Действие Политики распространяется на отношения по обработке и защите персональных данных, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера действие Политики не может быть распространено на отношения по обработке и защите персональных данных, полученных до ее утверждения.

1.4. Если в отношениях с Обществом участвуют наследники (правопреемники) и (или) представители субъектов персональных данных, то Общество становится оператором персональных данных лиц, представляющих указанных субъектов. Политика и другие внутренние регулятивные документы Общества распространяются на случаи обработки и защиты персональных данных наследников (правопреемников) и (или) представителей субъектов персональных данных, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с Обществом.

1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

Персональные данные	Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных	Действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Предоставление персональных данных	Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных	Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных	Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Автоматизированная обработка персональных данных	Обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных	Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных	Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.1. Обработка персональных данных осуществляется на законной и справедливой основе.

2.2 Общество обрабатывает персональные данные субъектов персональных данных в целях ведения деятельности, предусмотренной корпоративными документами Общества. Персональные данные обрабатываются в информационных системах структурных подразделений Общества в отношении определенных категорий субъектов.

2.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, а также не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.4. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.

2.6 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом о персональных данных.

Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

Правовым основанием обработки персональных данных субъектов персональных данных Оператором служат:

·        Конституция Российской Федерации,

·        Гражданский кодекс Российской Федерации,

·        Трудовой кодекс Российской Федерации,

·        Налоговый кодекс Российской Федерации,

·        Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»,

·        Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»,

·        Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»,

·        Федеральный закон от 12.04.2012 №61-ФЗ «Об обращении лекарственных средств»,

·        Федеральный закон от 25.07.2002 №115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»,

·        Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»,

·        Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,

·        Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»,

·        Решение Совета Евразийской экономической комиссии от 03.11.2016 №87 «Об утверждении Правил надлежащей практики фармаконадзора Евразийского экономического союза», и иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

Правовым основанием обработки персональных данных также являются:

·        договоры, заключаемые между Оператором и субъектами персональных данных,

·        договоры, заключаемые между Оператором и контрагентами,

·        согласия субъектов персональных данных на обработку их персональных данных.

4.1 Оператор имеет право:

-       получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

-       требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных в целях обеспечения точности, достаточности и актуальности персональных данных.

4.2. Оператор обязан:

-       организовать обработку персональных данных в соответствии с требованиями законодательства Российской Федерации о персональных данных;

-       рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы в соответствии с требованиями законодательства Российской Федерации о персональных данных;

-       предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным в порядке, предусмотренном действующим законодательством Российской Федерации;

-       принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его обращением (или обращением его законного представителя) с законными и обоснованными требованиями;

-       организовывать защиту персональных данных в соответствии с требованиями законодательства Российской Федерации.

-       хранить персональные данные субъектов на бумажных и/или электронных носителях в соответствии с требованиями применимого законодательства и установленным Оператором порядком хранения.

-       предоставлять доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения ими своих трудовых функций.

-       передавать персональные данные субъекта третьей стороне, включая трансграничную передачу, только с его письменного согласия.

Не допускается передача персональных данных субъекта в коммерческих целях без его письменного согласия. Оператор не может сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Сотрудники Оператора, передающие персональные данные субъектов третьим лицам, должны передавать их строго в соответствии с правилами и процедурами, установленными Оператором и действующим законодательством Российской Федерации.

5.1 Субъекты персональных данных обязаны:

-       предоставлять Оператору достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Оператор имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные им, с имеющимися у субъекта документами.

Лицо, передавшее Оператору недостоверные и/или ложные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Российской Федерации.

5.2 В целях обеспечения защиты персональных данных, хранящихся у Оператора, субъекты персональных данных имеют право:

-       на бесплатное получение полной информации о:

·        должностях сотрудников, которые имеют доступ к их персональным данным или которым может быть предоставлен такой доступ;

·        своих персональных данных, перечне обрабатываемых таких персональных данных и источниках их получения;

·        сроках обработки персональных данных, в том числе сроках их хранения;

·        юридических последствиях обработки их персональных данных.

Субъекты персональных данных также имеют право на:

-       обращение к Оператору в целях реализации и защиты своих прав и законных интересов.

-       получение копии любых записей, содержащих персональные данные за исключением случаев, предусмотренных законодательством Российской Федерации. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

-      определение своих представителей для защиты своих персональных данных;

-      требования от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-      дать согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;

-      на отзыв согласия на обработку персональных данных.

-      обжалование действий или бездействия Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

-      защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

Ниже приведено описание целей обработки персональных данных, включая категории персональных данных, категории субъектов, персональные данные которых обрабатываются, перечень действий, правовые основания и способы обработки для каждой цели:

Цель 1 - Подбор персонала на замещение вакантных должностей (включая кадровый резерв)

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        пол;

·        адрес электронной почты;

·        номер телефона;

·        гражданство;

·        сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

·        сведения об образовании;

·        возраст;

·        город проживания;

·        сведения о деловых и личных качествах.

Категории субъектов, персональные данные которых обрабатываются:

·        работники;

·        соискатели;

·        кандидаты на должность.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 2 - Соблюдение прав и обязанностей, предусмотренных трудовым законодательством Российской Федерации и иными актами, содержащими нормы трудового права, включая, но не ограничиваясь, регулирование трудовых и иных, непосредственно связанных с ними отношений, содействие в трудоустройстве, обучение и карьерное развитие, дополнительные меры стимулирования, контроль количества и качества выполняемой работы, расчет и выплаты заработной платы, обеспечения личной безопасности работников.

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        место рождения;

·        семейное положение;

·        имущественное положение;

·        доходы;

·        пол;

·        адрес электронной почты;

·        адрес места жительства;

·        адрес регистрации;

·        номер телефона;

·        СНИЛС;

·        ИНН;

·        гражданство;

·        данные документа, удостоверяющего личность;

·        данные документа, удостоверяющего личность за пределами Российской Федерации;

·        реквизиты банковской карты;

·        номер расчетного счета;

·        должность;

·        сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

·        отношение к воинской обязанности;

·        сведения о воинском учете;

·        сведения об образовании;

·        фото-видео изображение лица;

·        возраст;

·        табельный номер;

·        место работы;

·        подразделение;

·        информация о профессиональной подготовке;

·        сведения о повышении квалификации;

·        сведения об имуществе (в случае предоставления имущественных вычетов);

·        данные, содержащиеся в свидетельстве о рождении детей;

·        сведения по учету рабочего времени и времени отдыха;

·        сведения о деловых и личных качествах;

·        сведения о привлечении к юридической ответственности;

·        сведения о льготах;

·        сведения, необходимые для обеспечения безопасности;

·        сведения о перемещениях;

·        подпись;

·        степень родства.

Специальные категории персональных данных

·        сведения о состоянии здоровья;

·        национальная принадлежность;

·        сведения о судимости.

Категории субъектов, персональные данные которых обрабатываются:

·        работники;

·        родственники работников;

·        уволенные работники.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 3 - Ведение воинского учета

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        место рождения;

·        семейное положение;

·        адрес электронной почты;

·        адрес места жительства;

·        адрес регистрации;

·        номер телефона;

·        СНИЛС;

·        данные документа, удостоверяющего личность;

·        данные водительского удостоверения;

·        должность;

·        сведения об образовании;

·        воинское звание;

·        город рождения;

·        состав семьи;

·        кадровые события;

·        подпись.

Категории субъектов, персональные данные которых обрабатываются:

·        работники.

Правовое основание обработки персональных данных:

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 4 - Обеспечение миграционного учёта иностранных работников (включая получение и продление рабочей визы, оформление СНИЛС, постановку на миграционный и налоговый учет иностранного работника и сопровождающих членов его семьи, предоставление жилья, а также выполнение иных требований миграционного законодательства)

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        место рождения;

·        семейное положение;

·        пол;

·        адрес электронной почты;

·        адрес места жительства;

·        номер телефона;

·        СНИЛС;

·        ИНН;

·        гражданство;

·        данные документа, удостоверяющего личность;

·        реквизиты банковской карты;

·        номер расчетного счета;

·        номер лицевого счета;

·        сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

·        сведения об образовании;

·        фото-видео изображение лица;

·        cтепень родства (сопровождающих членов семьи);

·        данные медицинской справки;

·        сведения о миграционной карте;

·        сведения о рабочей визе;

·        сведения о разрешении на работу;

·        банковские реквизиты.

Специальные категории персональных данных

·        сведения о состоянии здоровья;

·        национальная принадлежность;

·        сведения о судимости.

Категории субъектов, персональные данные которых обрабатываются:

·        работники-иностранные граждане,

·        родственники работников-иностранных граждан,

·        уволенные работники-иностранные граждане.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 5 - Осуществление маркетинговой деятельности и деятельности по обеспечению доступа препаратов на рынок (включая клиентские мероприятия, маркетинговые исследования, публикации, опросы, продвижение лекарственных препаратов, взаимодействие с представителями государственных органов, СМИ, представителями некоммерческих организаций (включая организацию участия в мероприятиях, согласование публикаций, комментариев представителей Оператора, участия в пресс-турах Оператора и пр.)

Категории персональных данных:

·        фамилия, имя, отчество;

·        адрес электронной почты;

·        номер телефона;

·        должность;

·        область специализации специалиста здравоохранения;

·        наименование работодателя;

·        адрес места работы.

Категории субъектов, персональные данные которых обрабатываются:

·        представители контрагентов;

·        специалисты здравоохранения,

·        представители СМИ,

·        представители государственных органов,

·        представители некоммерческих организаций,

·        участники мероприятий Оператора.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 6 - Заключение и исполнение договоров гражданско-правового характера, включая тендерное и преддоговорное взаимодействие (в том числе, со специалистами здравоохранения, контрагентами, дистрибьюторами и пр.)

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        адрес электронной почты;

·        адрес регистрации;

·        номер телефона;

·        СНИЛС;

·        ИНН;

·        гражданство;

·        данные документа, удостоверяющего личность;

·        реквизиты банковской карты;

·        номер расчетного счета;

·        номер лицевого счета;

·        должность;

·        сведения об образовании;

·        наименование работодателя;

·        адрес места работы;

·        специализация;

·        информация о квалификации;

·        публикации;

·        подпись;

·        банковские реквизиты.

Категории субъектов, персональные данные которых обрабатываются:

·        представители контрагентов;

·        специалисты здравоохранения;

·        представители контрагентов (юридических лиц);

·        представители дистрибьюторов;

·        контрагенты (индивидуальные предприниматели);

·        представители контрагентов (индивидуальных предпринимателей);

·        контрагенты (самозанятые).

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 7 - Обеспечение безопасного и эффективного использования лекарственных препаратов, медицинских изделий и других продуктов компании Амджен (в том числе, в целях: фармаконадзора, приема и обработки запросов субъектов ПДн и обращений по качеству препаратов и информирования о применении препаратов и предоставления иной медицинской информации, исходя из характера запроса)

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        пол;

·        адрес электронной почты;

·        адрес места жительства;

·        номер телефона;

·        возраст;

·        сведения о беременности;

·        вес;

·        рост;

·        сведения из медицинского анамнеза;

·        сведения о последствиях нежелательного явления, возникшего при применении лекарственного препарата «Амджен».

Специальные категории персональных данных

·        сведения о состоянии здоровья.

Категории субъектов, персональные данные которых обрабатываются:

·        специалисты здравоохранения,

·        пациенты,

·        законные представители пациентов,

·        потребители продукции, сообщившие о нежелательном явлении или ином событии по безопасности, направляющие обращения по качеству препаратов или направившие запросы о применении препаратов и предоставлении иной медицинской информации.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 8 - Организация оператором научно-исследовательской и прочей профессиональной деятельности, включая взаимодействие со специалистами здравоохранения и медицинскими представителями

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        доходы;

·        адрес электронной почты;

·        номер телефона;

·        СНИЛС;

·        ИНН;

·        гражданство;

·        данные документа, удостоверяющего личность;

·        данные документа, удостоверяющего личность за пределами Российской Федерации;

·        реквизиты банковской карты;

·        номер расчетного счета;

·        номер лицевого счета;

·        профессия;

·        должность;

·        сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

·        сведения об образовании;

·        фото-видео изображение лица;

·        наименование работодателя;

·        адрес места работы;

·        специализация;

·        данные об участии в мероприятии (дата, тема, факт участия, город, страна, препарат, цель);

·        класс проезда;

·        адрес фактического проживания;

·        стоимость проживания;

·        вознаграждение;

·        критерии отбора;

·        вид сотрудничества;

·        адрес регистрации;

·        регалии;

·        степени;

·        квалификация;

·        почтовый адрес;

·        данные анкеты для получения визы;

·        данные резюме;

·        научные труды;

·        публикации.

Категории субъектов, персональные данные которых обрабатываются:

·        представители контрагентов;

·        специалисты здравоохранения;

·        представители государственных органов;

·        представители бюджетных и внебюджетных организаций;

·        представители дистрибьютеров и оптовых покупателей;

·        представители некоммерческих организаций.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 9 - Проведение клинических исследований

Категории персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        социальное положение;

·        пол;

·        адрес электронной почты;

·        номер телефона;

·        СНИЛС;

·        ИНН;

·        данные документа, удостоверяющего личность;

·        реквизиты банковской карты;

·        номер расчетного счета;

·        номер лицевого счета;

·        адрес места работы;

·        данные свидетельства о рождении;

·        банковские реквизиты;

·        вес;

·        рост;

·        данные о состоянии здоровья;

·        сопутствующая терапия;

·        этническая принадлежность;

·        профессиональное трудовое положение (работающий/пенсионер);

·        информация о наличии вредных привычек.

Специальные категории персональных данных

·        сведения о состоянии здоровья.

Категории субъектов, персональные данные которых обрабатываются:

·        представители контрагентов;

·        пациенты;

·        законные представители пациентов;

·        исследователи;

·        со-исследователи.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 10 - Перевозка лекарственных препаратов по территории РФ

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        пол;

·        адрес электронной почты;

·        адрес регистрации;

·        номер телефона;

·        гражданство;

·        данные документа, удостоверяющего личность;

·        данные водительского удостоверения;

·        должность;

·        фото-видео изображение лица;

·        сведения о договорных отношениях гражданско-правового характера;

·        адрес места работы;

·        наименование работодателя.

Категории субъектов, персональные данные которых обрабатываются:

·        представители контрагентов;

·        представители контрагентов (организаций; ИП и пр.);

·        контрагенты (индивидуальные предприниматели);

·        контрагенты (самозанятые).

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 11 - Регистрация лекарственных препаратов, организация GMP инспекций, выполнение требований кодексов ассоциаций фармацевтических компаний (EFPIA/АМФП)

Категория персональных данных:

·        фамилия, имя, отчество;

·        адрес электронной почты;

·        номер телефона;

·        должность;

·        адрес места работы;

·        наименование работодателя;

·        информация о выплатах;

·        сведения о договорных отношениях гражданско-правового характера.

Категории субъектов, персональные данные которых обрабатываются:

·        представители контрагентов;

·        представители государственных органов;

·        представители бюджетных и внебюджетных организаций;

·        представители некоммерческих организаций;

·        представители дистрибьютеров;

·        специалисты здравоохранения;

·        лица, участвующие в проведении инспекций и регистрации лекарственных препаратов.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 12 - Осуществление бухгалтерского и налогового учета (включая подготовку, подачу отчетности и контроль), а также оформление электронных подписей, МЧД, и наделение полномочиями на представление интересов Оператора

Категория персональных данных:

·        фамилия, имя, отчество;

·        год рождения;

·        месяц рождения;

·        дата рождения;

·        место рождения;

·        доходы;

·        адрес места жительства;

·        адрес регистрации;

·        номер телефона;

·        СНИЛС;

·        ИНН;

·        гражданство;

·        данные документа, удостоверяющего личность;

·        данные водительского удостоверения;

·        данные документа, удостоверяющего личность за пределами Российской Федерации;

·        реквизиты банковской карты;

·        номер расчетного счета;

·        должность;

·        сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

·        отношение к воинской обязанности,

·        сведения о воинском учете;

·        сведения об образовании;

·        сведения о договорных отношениях гражданско-правового характера;

·        адрес места работы;

·        наименование работодателя;

·        подпись.

Категории субъектов, персональные данные которых обрабатываются:

·        работники;

·        представители контрагентов;

·        представители дистрибьюторов,

·        курьеры,

·        специалисты здравоохранения,

·        контрагенты (индивидуальные предприниматели);

·        представители контрагентов (индивидуальных предпринимателей),

·        контрагенты (самозанятые).

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 13 - Обеспечение доступа в помещения оператора (включая доступ к парковочным местам)

Категория персональных данных:

·        фамилия, имя, отчество;

·        фото-видео изображение лица;

·        марка машины;

·        государственный номер машины.

Категории субъектов, персональные данные которых обрабатываются:

·        работники;

·        посетители офиса.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 14 - Обеспечение охраны труда и пожарной безопасности

Категория персональных данных:

·        фамилия, имя, отчество;

·        должность;

·        наименование структурного подразделения;

·        подпись.

Категории субъектов, персональные данные которых обрабатываются:

·        работники.

Правовое основание обработки персональных данных:

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Цель 15 - Осуществление хозяйственной деятельности, включая, но не ограничиваясь, отправку и получение почтовых отправлений, изготовление визитных карточек и другой полиграфической продукции, а также обеспечение доступа к ИТ-ресурсам/программному обеспечению, информационным системам и интернет-сайту оператора

Категория персональных данных:

·        фамилия, имя, отчество;

·        адрес электронной почты;

·        номер телефона;

·        данные документа, удостоверяющего личность;

·        данные водительского удостоверения;

·        должность;

·        наименование структурного подразделения;

·        наименование работодателя;

·        адрес места работы;

·        логин;

·        пароль;

·        страна.

Категории субъектов, персональные данные которых обрабатываются:

·        работники;

·        представители контрагентов;

·        посетители сайта;

·        представители контрагентов (юридических лиц);

·        контрагенты (физические лица);

·        контрагенты (индивидуальные предприниматели);

·        представители контрагентов (индивидуальных предпринимателей);

·        контрагенты (самозанятые);

·        специалисты здравоохранения.

Правовое основание обработки персональных данных:

·        обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

·        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

·        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

·        обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Перечень действий:

·        сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

Способы обработки:

·        смешанная;

·        с передачей по внутренней сети юридического лица;

·        с передачей по сети Интернет.

Для некоторых категорий субъектов персональных данных Оператором определен перечень обрабатываемых специальных персональных данных.

7.1 Работники (граждане Российской Федерации и иностранные граждане)

·   оформление трудовых отношений: национальность;

·   прохождение работниками медицинских осмотров, освидетельствований: сведения о состоянии здоровья;

·   сопровождение процесса получения работниками визы иностранного государства и иных разрешительных документов для исполнения трудовых обязательств, если предоставление данной информации требуется по закону: сведения о судимости.

7.2 Родственники работников (иностранных граждан)

·        сопровождение процесса оформления разрешительных документов для сопровождающего члена семьи: национальность;

·        сопровождение процесса прохождения сопровождающими членами семьи медицинских осмотров, освидетельствований: сведения о состоянии здоровья;

·        сопровождение процесса получения работниками визы иностранного государства для исполнения трудовых обязательств: сведения о судимости.

7.3 Специалисты здравоохранения, пациенты, законные представители пациентов, потребители продукции, сообщившие о нежелательном явлении или ином событии по безопасности, направляющие обращения по качеству препаратов или направившие запросы о применении препаратов и предоставлении иной медицинской информации в рамках осуществления фармаконадзора и получения информации о нежелательных явлениях, возникших при применении лекарственного препарата «Амджен»: сведения о состоянии здоровья.

7.4 Физические лица, сообщившие о нежелательных явлениях и других событиях по безопасности в рамках пост-маркетингового надзора фармакологической безопасности

-       получение информации о нежелательных явлениях и других событиях по безопасности в рамках пост-маркетингового надзора фармакологической безопасности

·        расовая принадлежность пациента;

·        сведения о беременности пациента;

·        сведения о нежелательных явлениях и других событиях по безопасности;

·        данные анамнеза;

·        вышеперечисленные данные о родителях пациента для сообщений, касающихся беременности и кормления грудью.

7.5 Пациенты, законные представители пациентов, исследователи, со-исследователи, представители контрагентов в рамках участия физических лиц в клинических исследованиях и осуществления контроля за ходом проведения и результатами клинического исследования: сведения о состоянии здоровья.

Для каждой категории субъектов персональных данных Оператором определен срок хранения и обработки документов, содержащих персональные данные:

8.1 Кандидаты и соискатели (граждане Российской Федерации и иностранные граждане)

-       Формирование кадрового резерва и подбор персонала: срок обработки и хранения персональных данных кандидатов, не принятых на работу - 2 года с даты подачи резюме.

-       Оценка кандидатов на соискание вакантных должностей: срок обработки и хранения персональных данных - 30 календарных дней с даты подачи резюме.

8.2 Работники (граждане Российской Федерации и иностранные граждане)

-       Оформление трудовых отношений: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 5 лет с даты его расторжения.

-       Оформление командировок, служебных поездок, заказ авиа и железнодорожных билетов, бронирование гостиниц и трансфер: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 1 год с даты его расторжения.

-       Проведение обучения: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 1 год с даты его расторжения.

-       Оформление доверенностей ограниченному числу работников в рамках взаимодействия с государственными органами: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 3 года с даты его расторжения.

-       Организация процесса оформления и получения работниками-иностранными гражданами рабочей визы и разрешения на работу в соответствии с требованиями миграционного законодательства Российской Федерации: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 5 лет с даты его расторжения.

-       Переписка о приобретении авиа- и железнодорожных билетов, предоставлении мест в гостиницах, осуществление трансфера, оплате услуг средств связи и других административно-хозяйственных расходах: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 1 год с даты его расторжения.

-       Оформление лицевых счетов работников и карточек-справок по заработной плате: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 75 лет с даты его расторжения (законченных делопроизводством после 1 января 2003 г. – 50 лет).

-       Документы (сводные расчетные (расчетно-платежные) платежные ведомости и документы к ним, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и других выплат) о получении заработной платы и других выплат: срок обработки и хранения персональных данных: 6 лет (при отсутствии лицевых счетов – 50/75 лет).

-       Предоставление работникам автотранспортных средств в рамках заключённых трудовых договоров: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 30 календарных дней с даты его расторжения.

-       Путевые листы и журналы, базы данных учета путевых листов: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 5 лет с даты его расторжения.

-       Проведение корпоративных мероприятий и участие работников в бонусных программах компаний-партнеров: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 5 лет после его расторжения.

-       Ведение воинского учета: срок обработки и хранения персональных данных - в течение срока действия трудового договора и 5 лет с даты его расторжения.

-       Обеспечение охраны труда и пожарной безопасности: срок обработки и хранения персональных данных – журналы и книги учета инструктажа по охране труда – 45 лет; журналы и книги учета профилактических работ по охране труда, проверке знаний по охране труда – 5 лет. Документы (планы, отчеты, инструкции, докладные, служебные записки, акты, справки, переписка) об обеспечении противопожарного режима организации – 5 лет; журналы учета инструктажей по пожарной безопасности – 3 года.

-       Обеспечение доступа в помещение оператора (оформление электронных пропусков, доступ к парковочным местам): срок обработки и хранения персональных данных – в течение действия трудового договора и 1 год с даты его расторжения.

8.3 Родственники работников (иностранных граждан)

-       Организация процесса оформления и получения сопровождающими членами семей работников-иностранных граждан виз, разрешений на работу (если применимо) и других документов необходимых для законного пребывания сопровождающих членов семей работников-иностранных граждан в соответствии с требованиями миграционного законодательства Российской Федерации: срок обработки и хранения персональных данных – в течение срока действия трудового договора иностранного работника, которого сопровождают родственники, и 5 лет с даты его расторжения.

-       Оформление авиа и железнодорожных билетов, бронирование гостиниц и организация трансфера: срок обработки и хранения персональных данных - в течение срока действия трудового договора иностранного работника, которого сопровождают родственники, и 5 лет с даты его расторжения.

-       Переписка о приобретении авиа- и железнодорожных билетов, предоставлении мест в гостиницах, осуществление трансфера, оплате услуг средств связи и других административно-хозяйственных расходах: срок обработки и хранения персональных данных - в течение срока действия трудового договора иностранного работника, которого сопровождают родственники, и 1 год с даты его расторжения.

8.4 Родственники работников (граждан Российской Федерации)

-          Заполнение формы Т-2, перечисление обязательных платежей, различных выплат и компенсаций в соответствии с законодательством Российской Федерации: срок обработки и хранения персональных данных - 50/75 лет.

-          Организация досуговых мероприятий: срок обработки и хранения персональных данных - 3 года.

-          Списки детей работников Оператора: срок обработки и хранения персональных данных - в течение действия трудового договора работника.

-          Оформление полиса добровольного медицинского страхования и страхования жизни: срок обработки и хранения персональных данных - в течение срока действия трудового договора работника и 30 календарных дней с даты его расторжения.

-          Оформление доверенности на управление корпоративным транспортом: срок обработки и хранения персональных данных – в течение срока действия трудового договора и 5 лет с даты его расторжения.

-          Организация поездок в рамках корпоративных программ поощрения сотрудников по результатам работы: срок обработки и хранения персональных данных - в течение срока действия трудового договора работника и 30 календарных дней с даты его расторжения.

-          Информирование близких родственников в случае чрезвычайной ситуации: срок обработки и хранения персональных данных - в течение срока действия трудового договора работника и 30 календарных дней с даты его расторжения.

8.5 Уволенные работники

-       администрирование пособий по окончании трудовой деятельности, соблюдение требований применимого законодательства Российской Федерации: срок обработки и хранения персональных данных - 5 лет с даты расторжения трудового договора.

8.6 Специалисты здравоохранения в рамках мединфо

-          Раскрытие финансовой информации в соответствии с требованиями прозрачности EFPIA/АМФП, а также соблюдение нормативных требований, таких как мониторинг безопасности, сообщения о неблагоприятных событиях или требования прозрачности: срок обработки и хранения персональных данных - 3 года с момента раскрытия соответствующей информации.

-          Проведение оплат (SAP), оформление командировок, планирование и согласование активностей в системе С3, фиксация визитов в системе Veeva, электронная рассылка медицинской и научной информации для повышения осведомленности медицинского сообщества: срок обработки и хранения персональных данных - 3 года с момента последнего использования персональных данных.

-       Взаимодействие со специалистами здравоохранения для обработки запросов на получение ими медицинской информации: срок обработки и хранения персональных данных: 3 года с момента последнего использования персональных данных.

-       Фармаконадзор, в том числе обработка информации о нежелательном явлении или другом событии по безопасности на фоне применения препаратов компании «Амджен»: срок обработки и хранения персональных данных - в течение срока действия регистрационных удостоверений лекарственных препаратов, а также не менее 10 лет после прекращения действия регистрационных удостоверений о государственной регистрации лекарственных препаратов.

-       Обработка информации, связанной с жалобами на качество препарата компании «Амджен»: срок обработки и хранения персональных данных - 10 лет с момента получения соответствующей информации Оператором.

8.8 Потребители продукции в рамках мединфо

-       Взаимодействие с потребителями продукции (пациентами или их представителями) для обработки запросов на получение ими медицинской информации в рамках действующей инструкции по применению: срок обработки и хранения персональных данных - 10 лет с момента получения соответствующего запроса Оператором.

-       Фармаконадзор, в том числе обработка информации о нежелательном явлении и/или другом событии по безопасности на фоне применения препаратов компании «Амджен»: срок обработки и хранения персональных данных - в течение срока действия регистрационных удостоверений лекарственных препаратов, а также не менее 10 лет после прекращения действия регистрационных удостоверений о государственной регистрации лекарственных препаратов.

-       Обработка информации, связанной с жалобами на качество препарата «Амджен»: срок обработки и хранения персональных данных - 10 лет с момента получения соответствующей жалобы Оператором.

8.9 Специалисты здравоохранения – в рамках фармаконадзора (врачи, сообщившие о нежелательных явлениях, возникших при применении лекарственного препарата)

-          Осуществление фармаконадзора и получение информации о нежелательных явлениях, возникших при применении лекарственного препарата компании «Амджен»: срок обработки и хранения персональных данных - в течение срока действия регистрационных удостоверений лекарственных препаратов, а также не менее 10 лет после прекращения действия регистрационных удостоверений о государственной регистрации лекарственных препаратов.

8.10 Физические лица, сообщившие о нежелательных явлениях и других событиях по безопасности в рамках пост-маркетингового надзора фармакологической безопасности

-       Оптимизация безопасного применения продуктов компании «Амджен» с помощью непрерывной оценки соотношения пользы и рисков их применения и надлежащего предоставления информации о пользе и рисках всем заинтересованным лицам, включая уполномоченные органы, специалистов здравоохранения и пациентов: срок обработки и хранения персональных данных - в течение срока действия регистрационных удостоверений лекарственных препаратов, а также не менее 10 лет после прекращения действия регистрационных удостоверений о государственной регистрации лекарственных препаратов.

8.11 Пациенты и их законные представители - участники клинических исследований

-       Администрирование и управление биомедицинскими исследованиями (клинические и обсервационные исследования): срок обработки и хранения персональных данных - 15 лет с даты завершения клинического исследования.

-          Соблюдение нормативных требований в соответствии с правилами надлежащей клинической практики: срок обработки и хранения персональных данных - 15 лет с даты завершения клинического исследования.

8.12 Специалисты здравоохранения – исследователи/со-исследователи в рамках сотрудничества с Оператором в отношении клинических исследований

-       Заключение договора гражданско-правового характера со специалистом здравоохранения или иным физическим лицом и исполнение условий по данному договору: срок обработки и хранения персональных данных - 5 лет с даты исполнения/завершения срока действия договора гражданско-правового характера.

-          Подготовка и проведение клинических исследований оказание спонсорской помощи в рамках организации мероприятий по повышению профессионального уровня специалистов здравоохранения, включая заказ билетов, проживание и трансфер, организация информационной поддержки: срок обработки и хранения персональных данных - 5 лет с даты исполнения/завершения срока действия договора гражданско-правового характера.

8.13 Потребители продукции - физические лица, сообщившие информацию о качестве продукции

-       Взаимодействие с потребителями продукции в рамках обработки сообщений о претензии к качеству продукции: срок обработки и хранения персональных данных - 10 лет с момента получения соответствующей претензии Оператором.

8.14 Специалисты здравоохранения (в рамках маркетинговых исследований)

-       Проведение маркетинговых исследований, опросов, заполнение регистрационных форм (для регистрации на мероприятие, если применимо): срок обработки и хранения персональных данных - 3 года с момента последнего использования персональных данных.

8.15 Контрагенты (взаимодействие в рамках заключенных договоров)

-       Заключение договоров, дополнительных соглашений, обработка платежей поставщикам и продавцам, взаимодействие при тендерном отборе и ведении иной договорной деятельности, отправка и получение корреспонденции, соблюдение требований действующего законодательства Российской Федерации: срок обработки и хранения персональных данных - в течение срока действия договора и 3 года с даты его расторжения.

8.16 Представители сторонних организаций – взаимодействие в рамках заключенных договоров

-       Взаимодействие с представителями правительственных учреждений и в целях формирования схемы подчиненности на территории России: срок обработки и хранения персональных данных: 5 лет с даты исполнения / завершения срока действия договора.

-       Организация участия в мероприятиях, согласования публикаций, комментариев представителей Оператора, участия в пресс-турах Оператора: срок обработки и хранения персональных данных - 5 лет с даты проведения мероприятия.

-          Проведение тренинга дистрибьюторов: срок обработки и хранения персональных данных - в течение срока действия договора и 5 лет с даты его расторжения.

-          Взаимодействие с организациями в рамках обработки запросов на получение ими медицинской информации: срок обработки и хранения персональных данных - бессрочно.

8.17 Посетители офиса

-          Обеспечение доступа в помещение оператора (включая доступ к парковочным местам): срок обработки и хранения персональных данных - 1 год с даты внесения записи в систему оформления пропусков арендодателя.

8.18 Посетители сайта

-          Обеспечение доступа к сайту Оператора: срок обработки и хранения персональных данных – 1 год.

Указанные выше сроки обработки и хранения документов, содержащих персональные данные субъектов, применяются, если законодательством Российской Федерации не предусмотрены иные сроки.

Для категорий субъектов персональных данных, не упомянутых в настоящем пункте, применяются сроки хранения и обработки персональных данных, установленные законодательством Российской Федерации.

Полевой сотрудник после формирования целевого перечня визитов обязан не позднее пяти рабочих дней с момента первого визита подписать согласие на обработку персональных данных со специалистом здравоохранения, если согласие ранее не было подписано.

В течение трех рабочих дней с момента подписания согласия на обработку персональных данных полевой сотрудник должен направить сканированную копию согласия на корпоративную почту сотрудника отдела, ответственного за обработку таких согласий. Для сканирования/фотографирования согласий на обработку персональных данных сотрудники Оператора должны использовать только корпоративную технику.

В течение пяти рабочих дней с момента подписания согласия на обработку персональных данных полевой сотрудник должен передать оригинал согласия в офис Оператора на имя ответственного сотрудника отдела. Оригиналы согласий должны передаваться в запечатанном непрозрачном конверте формата А4 с пометкой «КОНФИДЕНЦИАЛЬНО».

После получения сканированной копии или фотографии согласия на обработку персональных данных сотрудник отдела, ответственный за сбор согласий, проверяет правильность его заполнения. В течение трех рабочих дней с момента получения сканированной копии согласия на обработку персональных данных сотрудник отдела, ответственный за обработку таких согласий, заносит информацию о специалисте здравоохранения в локальную базу данных и реестр согласий на обработку персональных данных.

Оригиналы согласий специалистов здравоохранения на обработку персональных данных помещаются в папки соответствующих отделов в алфавитном порядке. Папки формируются в офисе Оператора и передаются на хранение поставщику архивных услуг и услуг по хранению документов. Электронные согласия хранятся в локальной базе данных.

10.1. Внутренний доступ к персональным данным осуществляется в соответствии со списком должностей, утвержденных приказом Генерального директора Оператора. В целях обеспечения надлежащего выполнения трудовых обязанностей доступ к персональным данным может быть предоставлен на основании приказа Генерального директора Оператора иному работнику, должность которого не включена в список лиц, уполномоченных на получение и доступ к персональным данным. Работники Оператора, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

10.2. Оператор и лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено применимым законодательством Российской Федерации.

10.3. Юридическим и физическим лицам, оказывающим услуги Оператору на основании заключенных гражданско-правовых договоров (либо на иных основаниях), которым необходим доступ к персональным данным в связи с выполнением ими обязательств по указанным договорам, соответствующие данные могут предоставляться Оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации либо включения соответствующего пункта в основной договор.

10.4. При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным по указанию руководителя структурного подразделения.

10.5. Оператор может передавать персональные данные на законном основании в органы пенсионного и социального страхования; в органы прокуратуры и другие правоохранительные органы; в налоговые органы; в федеральную                 инспекцию труда, профессиональные союзы, а также иные государственные органы и организации в соответствии с федеральными законами.

10.6. Оператор имеет право поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено применимым законодательством Российской Федерации. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано осуществлять ее в строгом соответствии с требованиями Закона о персональных данных, а также в соответствии с поручением Оператора, содержащим определенный перечень действий с персональными данными, целей обработки и с соблюдением конфиденциальности и обеспечением безопасности обрабатываемых персональных данных.

Оператор осуществляет трансграничную передачу персональных данных на территорию иностранных государств, являющимися сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также на территорию иных иностранных государств, обеспечивающих защиту прав субъектов персональных данных с учетом требований Закона о персональных данных.

Мероприятия по защите персональных данных реализуются Оператором в следующих направлениях:

-       предотвращение утечки информации, содержащей персональные данные, по техническим каналам связи и иными способами;

-       предотвращение несанкционированного доступа к содержащей персональные данные информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;

-       защита от вредоносных программ;

-       обеспечение безопасного межсетевого взаимодействия;

-       обеспечение безопасного доступа к сетям международного информационного обмена;

-       обнаружение вторжений и компьютерных атак;

-       осуществления контроля за реализацией системы защиты персональных данных;

Мероприятия по обеспечению безопасности персональных данных включают в себя:

-       использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

-       предотвращение внедрения в системы Оператора вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;

-       ограничение доступа в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, содержащие персональные данные;

-       размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

-       организацию физической защиты помещений и технических средств, позволяющих осуществлять обработку персональных данных;

-       использование корпоративных защищенных съемных носителей информации;

-       учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

-       резервирование технических средств, дублирование массивов и носителей информации;

-       использование защищенных каналов связи, защита информации при ее передаче по каналам связи;

-       обнаружение вторжений в системы Оператора, нарушающих или создающих предпосылки                                  к нарушению установленных требований по обеспечению безопасности персональных данных;

-       периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на системы Оператора;

-       активный аудит безопасности систем Оператора на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;

-       анализ защищенности систем Оператора с применением специализированных программных средств (сканеров безопасности);

-       периодические проверки третьих лиц на предмет соблюдения договорных требований относительно защиты    конфиденциальности и безопасности. В некоторых случаях из соображений предотвращения риска проверки могут состоять из местного инспектирования третьего лица. При проведении периодических проверок третьих лиц необходимо сотрудничать с лицом, ответственным за бизнес-процесс, и извещать отдел по защите конфиденциальности в случае выявления неадекватности политик или процедур третьего лица. Лица, ответственные за бизнес-процессы, должны незамедлительно извещать третьи лица в случае выявления существенных фактов в результате проверки защиты конфиденциальности и безопасности и требовать валидации мер устранения в течение приемлемого срока.

С целью поддержания состояния защиты персональных данных на надлежащем уровне Оператором осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям.

Внутренний контроль включает:

-       мониторинг состояния технических и программных средств, входящих в состав систем защиты персональных данных;

-       контроль соблюдения требований по обеспечению безопасности персональных данных (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты персональных данных, требований договоров).

В целях осуществления внутреннего контроля Оператором проводятся периодические проверки условий обработки персональных данных. Такие проверки осуществляются ответственным за организацию обработки персональных данных Оператора, либо аудиторами организации. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, докладывается Генеральному директору Оператора.

Обработка Оператором персональных данных прекращается в обязательном порядке в случае:

-    достижения целей обработки персональных данных;

-    истечения срока действия согласия субъекта персональных данных на обработку его персональных данных;

-    отзыв согласия субъекта персональных данных на обработку его персональных данных;

-    выявления неправомерной обработки персональных данных субъекта персональных данных.

Оператор производит уничтожение обрабатываемых персональных данных в соответствии с требованиями Закона о персональных данных и локальным положением «О порядке уничтожения персональных данных».

15.1. Лица, имеющие доступ к персональным данным и нарушившие нормы, регулирующие обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами (соглашениями), регламентирующими правоотношения Оператора с третьими лицами.

15.2. Сотрудники, имеющие доступ к персональным данным, виновные в незаконном разглашении или использовании персональных данных без согласия субъектов персональных данных несут ответственность в соответствии с законодательством Российской Федерации.

16.1. Настоящая Политика утверждается и вводится в действие приказом Генерального директора Оператора.

16.2. Политика подлежит пересмотру на регулярной основе, но не реже одного раза в 3 года с момента проведения предыдущего пересмотра Политики.

16.3. В случае изменений законодательства Российской Федерации в сфере персональных данных и/или локальных актов Оператора, устанавливающих организацию обработки и обеспечение безопасности персональных данных, настоящая Политика может быть пересмотрена и утверждена ранее установленного срока.

16.4. Все отношения, касающиеся обработки персональных данных, не упомянутые в настоящей Политике, регулируются согласно положениям законодательства Российской Федерации.