Вопросы Этики
и Комплаенс
Деятельность GDP основывается на принципах деловой этики и соблюдении всех действующих законодательных и нормативных актов, руководств и отраслевых правил. GDP поддерживает самые высокие стандарты этического поведения и принципы экономической, социальной и экологической ответственности, а также распространяет свои ожидания на третьих лиц.
Наши основные ценности:
- открытые и добросовестные отношения с органами власти, юридическими и физическими лицами
- финансовая прозрачность деятельности
- честная конкурентная борьба и соблюдение всех действующих законов о конкуренции
- развитие бизнеса на принципе социальной ответственности
- построение долговременных взаимоотношений с работниками на основе взаимного уважения и взаимных обязательств
- укрепление имиджа и репутации компании
В компании категорически неприемлемы любые формы взяточничества и коррупции.
Горячая линия по Этике и Комплаенс компании “Джи Ди Пи” (GDP)
GDP дорожит своей репутацией компании, придерживающейся высочайших стандартов этики и добросовестности ведения бизнеса. Мы считаем, что бизнес должен быть построен на добросовестных и взаимовыгодных условиях, и уделяем особое внимание любым угрозам честности ведения бизнеса.
Вы можете сообщить о любых известных Вам фактах недобросовестного/неэтичного/нечестного поведения, связанных с деятельностью Компании, написав сообщение на адрес электронной почты compliance@gdpgroup.ru либо направив письмо на имя Уполномоченного в сфере Этики и Комплаенс по адресу: 121087, г. Москва, ул. Барклая, д.6, стр.3, офис компании “Джи Ди Пи”.
Мы гарантируем анонимность и конфиденциальность всех сообщений.
Прежде чем Вы оформите свое сообщение рекомендуем Вам ознакомиться с характеристиками успешного сообщения по ссылке: (ссылка)
Эти подсказки позволят Вам наиболее точно объяснить возможную проблему.
Пожалуйста, обратите внимание, что горячая линия не является экстренной службой. Если ситуация, о которой Вы хотите сообщить, представляет непосредственную угрозу вашей жизни и здоровью, мы просим вас незамедлительно позвонить по номеру вызова соответствующих экстренных служб.
Мы благодарим вас за сотрудничество!Политика раскрывает принципы, порядок и условия обработки персональных данных Обществом. Она разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых Обществом.
В настоящей Политике используются следующие основные понятия:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), включая ФИО, дату рождения, паспортные данные, ИНН, СНИЛС, телефон, адрес электронной почты, данные по заработной плате.
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом (физическим и юридическим) требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.
Хранение персональных данных осуществляется согласно Положению об обработке и защите персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных или срок, установленный законом РФ или договором, одной из сторон которого является субъект персональных данных.
Общество прекращает обработку персональных данных в случае достижения целей обработки персональных данных, истечения срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных, а также выявления неправомерной обработки персональных данных.
Общество в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Обществом, извещает представителей Общества об изменении своих персональных данных.
обеспечения соблюдения законов и иных нормативных правовых актов РФ (в том числе с целью осуществления и выполнения возложенных законодательством РФ на Общество как оператора персональных данных функций, полномочий и обязанностей, исполнения судебного акта, акта/требования другого органа или должностного лица, подлежащих исполнению в том числе в соответствии с законодательством РФ об исполнительном производстве);
заключения и исполнения трудовых отношений и иных непосредственно связанных с ними отношений (в том числе в целях содействия в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Общества как работодателя);
ведения кадрового учета и отражения информации в кадровых документах;
начисления и выплаты заработной платы и иных выплат;
исчисления и уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование;
представления Обществом как работодателя установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ;
содействия в оформлении зарплатной банковской карты и перечислении на нее заработной платы, карты для представительских и иных расходов;
содействия в оформлении полиса добровольного медицинского страхования (ДМС);
предоставления налоговых вычетов, соглашений;
оформления доверенностей, договоров;
осуществления связи с работником, как и субъектом персональных данных (в том числе для направления работнику, как и субъекту персональных данных уведомлений, информации и запросов, связанных с его трудовой деятельностью в Обществе), а также для обработки обращений работников (предложений, заявлений, заявок, запросов, жалоб, претензий и иных сообщений);
осуществления контрольно-пропускного режима на территории Общества;
фармаконадзора (сбор информации о возникновении нежелательных реакций);
взаимодействия с представителями контрагента (NDA, анкеты для банков и контрагентов);
взаимодействия с государственными органами, включая, но не ограничиваясь налоговой службой, органами статистики и прочими организациями.
работников Общества, в том числе бывших работников;
кандидатов на замещение вакантных должностей;
членов органов управления Общества, а также лиц, входящих в одну группу лиц с Обществом, и иных лиц, владеющих (прямо или косвенно) долями в уставном капитале Общества;
внешних представителей (юристы);
пациентов (фармаконадзор);
граждан, заключающих с Обществом гражданско-правовые договоры.
Состав обрабатываемых Обществом персональных данных определяется в зависимости от вида правоотношений, участником (представителем участника) которых является субъект персональных данных и иных обстоятельств, влияющих на цели обработки персональных данных, зафиксированных в разделе 4 настоящей Политики.
Общество обрабатывает персональные данные субъектов персональных данных в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства РФ в области персональных данных.
При обработке персональных данных субъекта персональных данных обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с письменного согласия субъекта персональных данных, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры, а также путем подписания NDA.
Общество может поручить обработку персональных данных другому лицу при выполнении следующих условий:
получено в установленной (письменной) форме согласие субъекта персональных данных на поручение обработки персональных данных другому лицу, подписание NDA;
поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Обществом. Общество несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Общество поручило обработку персональных данных.
По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия, могут быть переданы в уполномоченные органы в случаях, установленных нормативными правовыми актами, являющимися обязательными для исполнения Обществом.
Общество не осуществляет трансграничную передачу персональных данных на территорию иностранных государств.
В соответствии со статьей 18 п.5 Федерального закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных", Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
Данный порядок обеспечивает соблюдение следующих прав субъекта персональных данных:
право на получение информации, касающейся обработки персональных данных соответствующего субъекта персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
цели и применяемые Обществом способы обработки персональных данных;
наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании иных требований Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
информацию о способах исполнения оператором обязанностей, установленных статьёй 18.1 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими требованиями законодательства в области персональных данных.
право на уточнение, блокирование или уничтожение своих персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также право принимать предусмотренные законодательством РФ в области персональных данных меры по защите своих прав.
Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных».
В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано актуализировать/исправить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном Положением об обработке и защите персональных данных и архивным законодательством РФ.
Уничтожение документов, содержащих персональные данные, производится:
в случае отзыва согласия субъекта персональных данных, если отсутствуют иные законные основания обработки персональных данных;
по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
по достижении окончания срока хранения персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.
Уничтожение персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных). Уничтожение персональных данных, находящихся на бумажных носителях информации, осуществляется путем передачи в утилизацию, на переработку в специальную организацию, посредством офисного шредера (измельчителя). Процедура оформляется соответствующим актом.
осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
представлять доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
представлять субъекту персональных данных или его представителю по запросу информацию, касающуюся обработки персональных данных соответствующего субъекта персональных данных, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных», в срок, не превышающий десяти дней со дня обращения субъекта персональных данных или его представителя;
разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональных данных, если предоставление персональных данных является обязательным в соответствии с Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
вносить изменения в обрабатываемые персональные данные по требованию субъекта персональных данных или его представителя, в случае подтверждения факта неточности обрабатываемых персональных данных соответствующего субъекта персональных данных в течение семи рабочих дней;
предоставлять данные в органы государственной власти при проведении проверок;
блокировать обработку персональных данных в случае выявления неправомерной обработки при обращении субъекта персональных данных или его представителя, если блокирование персональных данных не нарушает права и законные интересы соответствующего субъекта персональных данных или третьих лиц;
уничтожать персональные данные соответствующего субъекта персональных данных в срок, не превышающий десяти рабочих дней в случае, если обеспечить правомерность обработки персональных данных невозможно, если иной срок не установлен действующим законодательством;
уведомлять субъекта персональных данных или его представителя обо всех изменениях, касающихся соответствующего субъекта персональных данных;
вести журнал учета обращений субъектов персональных данных, в котором фиксируются все запросы и обращения субъекта персональных данных или его представителя;
прекращать обработку и уничтожать персональные данные соответствующего субъекта персональных данных в случае достижения цели обработки персональных данных в срок не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных, либо Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами;
прекращать обработку персональных данных и уничтожать персональные данные соответствующего субъекта персональных данных в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных в срок не превышающий тридцати дней с даты поступления указанного отзыва если иное не предусмотрено соглашением между Обществом и субъектом персональных данных;
прекращать обработку персональных данных и уничтожать персональные данные соответствующего субъекта персональных данных, в случае обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных в срок, не превышающий десяти дней с даты поступления указанного запроса, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
В соответствии с положениями Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных» Общество имеет право:
осуществлять обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ст. 10, 11 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
отказать субъекту персональных данных в выполнении запроса/повторного запроса в случае, если субъекту персональных данных был предоставлен мотивированный ответ об отказе выполнения такого запроса;
предоставить данные при требованиях органов государственной власти при проведении проверок.
Меры по обеспечению безопасности персональных данных, применяемые в Обществе:
назначен ответственный за организацию обработки персональных данных;
назначено должностное лицо, ответственное за обеспечение безопасности персональных данных;
издание документов, определяющих политику Общества в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области персональных данных, устранение последствий таких нарушений;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ в области персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн);
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуры оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности ИСПДн.
При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Действующая редакция Политики публикуется на официальном сайте Общества и находится на Интернет сайте Общества: http://www.gdpgroup.ru
Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.
Ответственность работников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством РФ и внутренними документами Общества.
Политика раскрывает принципы, порядок и условия обработки персональных данных Обществом. Она разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых Обществом.
В настоящей Политике используются следующие основные понятия:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), включая ФИО, дату рождения, паспортные данные, ИНН, СНИЛС, телефон, адрес электронной почты, данные по заработной плате.
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом (физическим и юридическим) требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.
Хранение персональных данных осуществляется согласно Положению об обработке и защите персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных или срок, установленный законом РФ или договором, одной из сторон которого является субъект персональных данных.
Общество прекращает обработку персональных данных в случае достижения целей обработки персональных данных, истечения срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных, а также выявления неправомерной обработки персональных данных.
Общество в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Обществом, извещает представителей Общества об изменении своих персональных данных.
обеспечения соблюдения законов и иных нормативных правовых актов РФ (в том числе с целью осуществления и выполнения возложенных законодательством РФ на Общество как оператора персональных данных функций, полномочий и обязанностей, исполнения судебного акта, акта/требования другого органа или должностного лица, подлежащих исполнению в том числе в соответствии с законодательством РФ об исполнительном производстве);
заключения и исполнения трудовых отношений и иных непосредственно связанных с ними отношений (в том числе в целях содействия в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Общества как работодателя);
ведения кадрового учета и отражения информации в кадровых документах;
начисления и выплаты заработной платы и иных выплат;
исчисления и уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование;
представления Обществом как работодателя установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ;
содействия в оформлении зарплатной банковской карты и перечислении на нее заработной платы, карты для представительских и иных расходов;
содействия в оформлении полиса добровольного медицинского страхования (ДМС);
предоставления налоговых вычетов, соглашений;
оформления доверенностей, договоров;
осуществления связи с работником, как и субъектом персональных данных (в том числе для направления работнику, как и субъекту персональных данных уведомлений, информации и запросов, связанных с его трудовой деятельностью в Обществе), а также для обработки обращений работников (предложений, заявлений, заявок, запросов, жалоб, претензий и иных сообщений);
осуществления контрольно-пропускного режима на территории Общества;
фармаконадзора (сбор информации о возникновении нежелательных реакций);
взаимодействия с представителями контрагента (NDA, анкеты для банков и контрагентов);
взаимодействия с государственными органами, включая, но не ограничиваясь налоговой службой, органами статистики и прочими организациями.
работников Общества, в том числе бывших работников;
кандидатов на замещение вакантных должностей;
членов органов управления Общества, а также лиц, входящих в одну группу лиц с Обществом, и иных лиц, владеющих (прямо или косвенно) долями в уставном капитале Общества;
внешних представителей (юристы);
пациентов (фармаконадзор);
граждан, заключающих с Обществом гражданско-правовые договоры.
Состав обрабатываемых Обществом персональных данных определяется в зависимости от вида правоотношений, участником (представителем участника) которых является субъект персональных данных и иных обстоятельств, влияющих на цели обработки персональных данных, зафиксированных в разделе 4 настоящей Политики.
Общество обрабатывает персональные данные субъектов персональных данных в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства РФ в области персональных данных.
При обработке персональных данных субъекта персональных данных обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с письменного согласия субъекта персональных данных, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры, а также путем подписания NDA.
Общество может поручить обработку персональных данных другому лицу при выполнении следующих условий:
получено в установленной (письменной) форме согласие субъекта персональных данных на поручение обработки персональных данных другому лицу, подписание NDA;
поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Обществом. Общество несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Общество поручило обработку персональных данных.
По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия, могут быть переданы в уполномоченные органы в случаях, установленных нормативными правовыми актами, являющимися обязательными для исполнения Обществом.
Общество не осуществляет трансграничную передачу персональных данных на территорию иностранных государств.
В соответствии со статьей 18 п.5 Федерального закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных", Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
Данный порядок обеспечивает соблюдение следующих прав субъекта персональных данных:
право на получение информации, касающейся обработки персональных данных соответствующего субъекта персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
цели и применяемые Обществом способы обработки персональных данных;
наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании иных требований Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
информацию о способах исполнения оператором обязанностей, установленных статьёй 18.1 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими требованиями законодательства в области персональных данных.
право на уточнение, блокирование или уничтожение своих персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также право принимать предусмотренные законодательством РФ в области персональных данных меры по защите своих прав.
Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных».
В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано актуализировать/исправить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном Положением об обработке и защите персональных данных и архивным законодательством РФ.
Уничтожение документов, содержащих персональные данные, производится:
в случае отзыва согласия субъекта персональных данных, если отсутствуют иные законные основания обработки персональных данных;
по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
по достижении окончания срока хранения персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.
Уничтожение персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных). Уничтожение персональных данных, находящихся на бумажных носителях информации, осуществляется путем передачи в утилизацию, на переработку в специальную организацию, посредством офисного шредера (измельчителя). Процедура оформляется соответствующим актом.
осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
представлять доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
представлять субъекту персональных данных или его представителю по запросу информацию, касающуюся обработки персональных данных соответствующего субъекта персональных данных, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных», в срок, не превышающий десяти дней со дня обращения субъекта персональных данных или его представителя;
разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональных данных, если предоставление персональных данных является обязательным в соответствии с Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
вносить изменения в обрабатываемые персональные данные по требованию субъекта персональных данных или его представителя, в случае подтверждения факта неточности обрабатываемых персональных данных соответствующего субъекта персональных данных в течение семи рабочих дней;
предоставлять данные в органы государственной власти при проведении проверок;
блокировать обработку персональных данных в случае выявления неправомерной обработки при обращении субъекта персональных данных или его представителя, если блокирование персональных данных не нарушает права и законные интересы соответствующего субъекта персональных данных или третьих лиц;
уничтожать персональные данные соответствующего субъекта персональных данных в срок, не превышающий десяти рабочих дней в случае, если обеспечить правомерность обработки персональных данных невозможно, если иной срок не установлен действующим законодательством;
уведомлять субъекта персональных данных или его представителя обо всех изменениях, касающихся соответствующего субъекта персональных данных;
вести журнал учета обращений субъектов персональных данных, в котором фиксируются все запросы и обращения субъекта персональных данных или его представителя;
прекращать обработку и уничтожать персональные данные соответствующего субъекта персональных данных в случае достижения цели обработки персональных данных в срок не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных, либо Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами;
прекращать обработку персональных данных и уничтожать персональные данные соответствующего субъекта персональных данных в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных в срок не превышающий тридцати дней с даты поступления указанного отзыва если иное не предусмотрено соглашением между Обществом и субъектом персональных данных;
прекращать обработку персональных данных и уничтожать персональные данные соответствующего субъекта персональных данных, в случае обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных в срок, не превышающий десяти дней с даты поступления указанного запроса, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
В соответствии с положениями Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных» Общество имеет право:
осуществлять обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ст. 10, 11 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
отказать субъекту персональных данных в выполнении запроса/повторного запроса в случае, если субъекту персональных данных был предоставлен мотивированный ответ об отказе выполнения такого запроса;
предоставить данные при требованиях органов государственной власти при проведении проверок.
Меры по обеспечению безопасности персональных данных, применяемые в Обществе:
назначен ответственный за организацию обработки персональных данных;
назначено должностное лицо, ответственное за обеспечение безопасности персональных данных;
издание документов, определяющих политику Общества в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области персональных данных, устранение последствий таких нарушений;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ в области персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн);
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуры оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности ИСПДн.
При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Действующая редакция Политики публикуется на официальном сайте Общества и находится на Интернет сайте Общества: http://www.gdpgroup.ru
Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.
Ответственность работников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством РФ и внутренними документами Общества.