Защита информации и персональных данных в ЗАО «Байер»

1.1 Положение — настоящее «Положение о защите персональных данных в ЗАО “БАЙЕР”»;

1.2 Директива / Корпоративная директива — Директива концерна «Байер» «Защита информации и персональных данных в Концерне "Байер”»;

1.3 Закон / Федеральный закон - Федеральный закон Российской Федерации N 152 ФЗ “О персональных данных” в редакции от 25.07.2011 года N 261 ФЗ; а также иные нормативные акты Российской федерации, регулирующие процедуру обработки персональных данных.

1.4 Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.5 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках Директивы, оператором является ЗАО «БАЙЕР»;

1.6 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.7 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

1.8 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.9 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.10 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);

1.11 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.12 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

1.13 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.14 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.15 Специальные категории персональных данных – особые категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, членства в профсоюзах, состояния здоровья и интимной жизни.

1.16 Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

1.17 Общедоступные источники персональных данных – общедоступные источники данных, в которые с письменного согласия субъекта персональных данных могут включаться персональные данные, сообщаемые субъектом персональных данных.

1.18 Ответственный за организацию обработки персональных данных – физическое или юридическое лицо, назначаемое ЗАО «БАЙЕР» ответственным за организацию обработки персональных данных.

1.19 Подразделение-инициатор — подразделение Оператора, принимающее решение об обработке персональных данных и организующее обработку персональных данных в рамках подразделения.

2.1 Ограничения обработки данных
Обработка персональных данных разрешена только с согласия Субъекта персональных данных или если такая обработка разрешена применимым законодательством по месту обработки информации без согласия субъекта.
Согласие должно быть получено в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом.

В соответствии с Федеральным законом письменная форма согласия субъекта персональных данных, должна включать в себя, в частности:

1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2. при получении согласия от представителя субъекта персональных данных: фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4. цель обработки персональных данных;
5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом;
9. подпись субъекта персональных данных.
   Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом файлом уникальной электронной подписи.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии предусмотренных законом оснований. Заключение о наличии оснований для продолжения обработки персональных данных после отзыва согласия дается юридическим отделом ЗАО «БАЙЕР» ответственному за организацию обработки персональных данных компании.

Если персональные данные получены ЗАО «БАЙЕР» не от субъекта персональных данных, Подразделение-инициатор до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

1. наименование и адрес ЗАО «БАЙЕР» или фамилию, имя, отчество его представителя;
2. цель обработки персональных данных и её правовое основание;
3. предполагаемые пользователи персональных данных;
4. установленные Федеральным законом права субъекта персональных данных;
5. источник получения персональных данных.

В соответствии с Федеральным законом компания освобождается от обязанности предоставлять субъекту персональных данных вышеперечисленные сведения, в частности, в следующих случаях:

• субъект персональных данных уведомлен об осуществлении обработки его персональных данных ЗАО «БАЙЕР»;
• персональные данные получены ЗАО «БАЙЕР» на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• предоставление субъекту персональных данных вышеперечисленных сведений нарушает права и законные интересы третьих лиц.

Получение персональных данных не от субъектов персональных данных предварительно согласовывается руководителем подразделения инициатора с ответственным за организацию обработки персональных данных и юридическим отделом ЗАО «БАЙЕР».

2.2 Цель сбора персональных данных

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Субъект персональных данных, давая согласие на обработку своих персональных данных, должен быть проинформирован о целях их обработки. Цели обработки должны быть включены в форму согласия субъекта персональных данных. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

Обработке подлежат персональные данные, которые отвечают целям их обработки.

В случаях получения данных от третьей стороны или другого подразделения концерна / ЗАО «БАЙЕР» целевое назначение данных должно учитываться получателем при дальнейшей обработке и хранении. Целевое назначение персональных данных может быть изменено только в случае получения согласия субъекта персональных данных или допустимости такого изменения согласно местному законодательству соответствующей страны, из которой получены персональные данные.

2.3 Принцип минимальной достаточности обрабатываемых данных
Согласно требованиям Федерального законодательства РФ и Корпоративной Директивы персональные данные могут обрабатываться только в случае существования необходимости. Их содержание и объём должны соответствовать заявленным целям обработки, при этом объём не должен быть избыточным по отношению к заявленным целям. В случае возможности обезличивания данных, соответствующие меры должны быть приняты на самых ранних стадиях (например: проведения риск-анализа проекта или на стадии согласования и проверки контракта). Настоящее правило применяется, в частности, в отношении персональных данных исследуемых и пациентов при проведении клинических исследований.

2.4 Принцип актуальности и достоверности данных
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В случае необходимости, обеспечено удаление или уточнение неполных или неточных данных.

2.5 Сбор и обработка биометрических и персональных данных специальных категорий
С учётом правила преимущественной силы более строгих ограничений, ЗАО «БАЙЕР», дополнительно к определенному законодательством РФ списку персональных данных специальных категорий, относит сведения о членстве в профсоюзах.

Обработка специальных категорий персональных данных запрещена за исключением, в частности, следующих случаев:

• субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных с соблюдением требований применимого законодательства;
• персональные данные сделаны общедоступными субъектом персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медикосоциальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской федерации сохранять врачебную тайну. 

Обработка персональных данных специальных категорий должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено Федеральным законом.

Обработка биометрических персональных данных может осуществляться только при наличии письменного согласия субъекта персональных данных.

Обработка биометрических и персональных данных специальных категорий может осуществляться только после согласования с ответственным за организацию обработки персональных данных ЗАО «БАЙЕР», юридическим отделом и менеджером по информационной безопасности компании и / или руководителем отдела Информационных Технологий). Данная обработка влечёт принятие специальных мер защиты согласно требованиям Федерального законодательства и корпоративной политики (например, использование выделенных каналов связи или установка средств шифрования, ограничения физического доступа и т.п.).

2.6 Сроки обработки персональных данных
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, или если иное не установлено законодательством РФ или договором, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в такой обработке, если иное не предусмотрено законодательством РФ.

2.7 Передача, трансграничная передача персональных данных
Передача (распространение, предоставление, доступ) персональных данных возможна только в случаях, предусмотренных действующим законодательством Российской Федерации.

Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с действующим законодательством Российской Федерации.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

• наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
• исполнения договора, стороной которого является субъект персональных данных.

Любая передача персональных данных возможна только при условии дополнительного соблюдения пункта 2.1 настоящего Положения и если это не противоречит требованиям Корпоративной Директивы.

2.8 Принятие решений, порождающих юридические последствия для субъектов персональных данных, на основании автоматизированной обработки персональных данных
Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, запрещено, за исключением случаев:

• наличия согласия в письменной форме субъекта персональных данных на принятие решения на основании автоматизированной обработки данных;
• предусмотренных Федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

2.9 Защита персональных данных
Инициатор обработки персональных данных должен внедрить соответствующие технические и организационные меры для обеспечения надлежащего уровня защиты данных. Данное треб��вание в наибольшей мере относится к компьютерному оборудованию (серверам и рабочим станциям), сетям и каналам коммуникаций, а также приложениям; меры должны быть внедрены в качестве элемента системы управления информационной безопасностью концерна «Байер». Обязательные меры, внедряемые для предотвращения неавторизованной обработки персональных данных, помимо прочего включают в себя средства контроля:

• физического доступа к системам обработки данных;
• логического доступа к системам обработки данных;
• логического доступа к приложениям обработки данных;
• ввода данных в системы обработки данных;
• передачи данных с помощью средств передачи.

Помимо этого должны быть приняты соответствующие меры для защиты данных от случайного или неавторизованного удаления или потери. Полностью данные меры описаны во внедрённой в ЗАО «БАЙЕР» Директиве «Информационная безопасность».

Разработка и внедрение новых локальных информационных систем, решений и баз данных, содержащих персональные данные, должны быть согласованы с менеджером по информационной безопасности, ответственным за обработку персональных данных и юридическим отделом ЗАО «БАЙЕР» на самой ранней стадии (например: проведения риск-анализа проекта или на стадии согласования и проверки контракта).

2.10 Соблюдение конфиденциальности при обработке данных
В процессе обработки персональных данных могут участвовать только уполномоченные сотрудники, принявшие на себя обязательство соблюдать требования в отношении конфиденциальности данных. Запрещено использовать такие данные в личных целях или разглашать их неуполномоченным лицам. В контексте настоящей Инструкции «неуполномоченные лица» также включают в себя сотрудников, которым не требуется доступ к таким данным для выполнения служебных обязанностей. Обязательства по соблюдению конфиденциальности продолжают действовать после прекращения трудового договора.

2.11 Обработка персональных данных по договору
ЗАО «БАЙЕР» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению ЗАО «БАЙЕР», обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.

В поручении оператора (договоре) должны быть определены:

• перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
• цели обработки;
• должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями Федерального закона и ответственность за несоблюдение таких требований.

3.1 Право на получение информации
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждения факта обработки персональных данных ЗАО «БАЙЕР»;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников ЗАО «БАЙЕР»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ЗАО «БАЙЕР» или на основании Федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом N 152ФЗ или другими Федеральными законами.

Сведения предоставляются субъекту персональных данных или его представителю по его запросу либо обращении к Оператору или в иных случаях, установленных Законом,
Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ЗАО «БАЙЕР»;
• подпись субъекта персональных данных или его представителя.

Субъект персональных данных вправе обратиться повторно к ЗАО «БАЙЕР» или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Законом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. ЗАО «БАЙЕР» вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям Закона.

Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, ограничено случаями, предусмотренными ч.8 ст.14 Закона.

3.2 Право требовать уточнения или исправления данных
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.3 Отказ в праве уведомления или исправления данных
Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, ограничено случаями, предусмотренными ч.8 ст.14 Федерального закона N 152ФЗ, в частности, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

В случае если в представлении сведений или внесении в них изменений по запросу субъекта данных отказано, субъект уведомляется о причинах отказа.

3.4 Порядок получения информации субъектами персональных данных
В целях соблюдения предусмотренных Законом прав субъектов персональных данных, ЗАО «БАЙЕР» организован приём:

• письменных запросов и требований, электронных запросов и требований;
• личных обращений субъектов к ответственному за организацию обработки персональных данных.

Оператор назначает лицо, ответственное за организацию обработки персональных данных. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственного за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты направляются ЗАО «БАЙЕР» в уполномоченный орган по защите прав субъектов персональных данных.

Подразделения и сотрудники ЗАО «БАЙЕР» в соответствии с Федеральным законом обязаны предоставлять лицу, ответственному за организацию обработки персональных данных, следующую информацию:

• наименование (фамилия, имя, отчество), адрес оператора;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
• описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе, сведения о наличии шифровальных (криптографических) средств;
• дата начала обработки персональных данных;
• срок и условия прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Директивой и Правительством Российской Федерации.
• Иную информацию, необходимую для организации обработки персональных данных, если её передача не противоречит требованиям Федерального закона и Директивы.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

• Осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе, требований к защите персональных данных;
• Доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• Организовывать приём и обработку обращений и запросов субъектов персональных данных или их представителей. При этом, приём и обработка обращений и запросов субъектов персональных данных или их представителей иными сотрудниками не допускается. В случаях подобного рода обращений, сотрудники компании должны проинформировать субъектов и их представителей о предусмотренных компанией способах осуществления обработки персональных данных (пункт 7.4 Положения).

В случаях:

• выявления неправомерной обработки персональных данных оператором или лицом, действующим по поручению оператора;
• выявления неточных персональных данных;
• достижения целей обработки;
• отзыва субъектом персональных данных согласия на обработку
  ЗАО «БАЙЕР» обязано предпринять требуемые Законом меры, включая блокирование, уточнение, удаление данных в установленные Федеральным законом сроки, если иное не предусмотрено законодательством РФ.

• Для электронных обращений: pd2e51875546ab42608ad0efa0276ab71c.bayru@48789af51fb44d4794f032cf87082907bayer.com
• Для личных обращений ответственному по защите персональных данных:
  г. Москва, 3-я Рыбинская улица, 18, стр.2, офис ЗАО “Байер” (ответственному за организацию обработки персональных данных)