Положение об организации обработки персональных данных пользователей Интернет-сайта Evrika.ru в ООО НПЦ «МЕДИНФОРМ»

Название
Положение об организации обработки персональных данных пользователей Интернет-сайта ООО НПЦ «МЕДИНФОРМ»

Ключевые требования
Настоящее Положение об организации обработки персональных данных пользователей Интернет-сайта в НПЦ «МЕДИНФОРМ»(далее – «Положение») определяет общую политику в отношении обработки персональных данных пользователей Интернет-сайта (далее – «ПДн») в ООО НПЦ «МЕДИНФОРМ» (далее – «Общество»).

Цели данного Положения
Настоящее Положение разработано в целях:

• организации обработки ПДн, осуществляемой в рамках полномочий Общества как оператора ПДн;
• обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Все работники Общества, допущенные к обработке ПДн, должны быть ознакомлены с настоящим Положением и любыми изменениями к нему под роспись и должны руководствоваться в своей деятельности настоящим Положением и принятым в соответствии с ним локальными нормативными актами.

Ссылки на глобальные политики и/или законодательный акты
Настоящее Положение разработано с учетом нормативно-правовых актов:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»);
• Федеральный закон от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств»;
• Федеральный закон от 13.03.2006 N 38-ФЗ "О рекламе"
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• иные нормативно-правовые акты Российской Федерации, регламентирующие вопросы обработки ПДн

1. ОСНОВНЫЕ ТЕРМИНЫ И СОКРАЩЕНИЯ
Следующие употребляемые в настоящем документе термины имеют указанные ниже значения:

• Автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники.
• Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
• Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
• Конфиденциальность персональных данных – обязанность оператора и иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
• Материальный носитель – материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.
• Обработка означает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Общедоступные персональные данные – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн или по его просьбе, включенные в общедоступные источники ПДн с письменного согласия субъекта ПДн или подлежащие опубликованию или обязательному раскрытию в соответствии с действующим законодательством Российской Федерации.
• Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
• Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• Пользователь Интернет-сайта – физическое лицо, обладающее высшим образованием в сфере здравоохранения и подтвердившее данное обстоятельство в порядке, установленном Интернет-сайтом, в результате чего получившее доступ к содержанию (контенту) и пользовательскому функционалу Интернет-сайтом (без каких-либо прав администрирования Интернет-сайтом), или иным предусмотренным настоящим Положением способом подтвердившим свое соответствующее образование, согласие на обработку ПДн и получившим доступ к Интернет-сайту.
• Работник – физическое лицо, вступившее в трудовые отношения с Обществом.
• Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
• Субъекты, субъекты персональных данных – Работники и члены их семей, бывшие Работники, Кандидаты на работу; Контрагенты, потенциальные Контрагенты – физические лица и индивидуальные предприниматели; представители, подписанты договоров от лица Контрагентов, являющихся юридическими лицами, к которым относятся соответствующие ПДн, обрабатываемые Обществом, и иные лица, чьи ПДн обрабатываются Обществом.
• Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
• Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор – уполномоченный орган по защите прав субъектов ПДн в Российской Федерации.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка ПДн в Обществе должна осуществляться с соблюдением следующих принципов:

• Обработка ПДн должна осуществляться на законной и справедливой основе.
• Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
• Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
• Обработке подлежат только ПДн, которые отвечают целям их обработки.
• Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
• При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных в соответствии с локально- нормативными актами Общества.
• Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Цели обработки ПДн:
3.1.1. идентификация субъекта персональных данных в качестве специалиста здравоохранения;
3.1.2. осуществление информационных рассылок, в том числе электронной почтой, мобильными сообщениями и звонками, для предоставления специалистам здравоохранения актуальной медицинской информации, новостей и научных материалов;
3.1.3. осуществление маркетинговых коммуникаций со специалистами здравоохранения, включая информирование о продуктах, услугах и мероприятиях в медицинской сфере;
3.1.4. оказание поддержки и консультаций специалистам здравоохранения через электронную почту, мобильные сообщения и телефонные звонки;
3.1.5. сохранение и предоставление информации о взаимодействии со специалистами здравоохранения в соответствии с применимым законодательством о медицинской деятельности и защите персональных данных.
3.2. Обработка ПДн в Обществе может осуществляться исключительно при наличии одного из следующих правовых оснований:

• обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
• обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
• обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
• обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
• обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о ПДн при условии обязательного обезличивания ПДн;
• осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством Российской Федерации.

3.3. На основаниях пункта 3.1 и полномочий Общества как оператора ПДн, Общество обрабатывает ПДн субъектов следующих категорий:

• Пользователей Интернет-сайта;

3.4. Перечень персональных данных пользователей Интернет-сайта, обрабатываемых в ООО НПЦ «МЕДИНФОРМ»:
3.4.1. Фамилия, имя, отчество;
3.4.2. Дата рождения;
3.4.3. Сведения о высшем образованием в сфере здравоохранения, включая реквизиты документа об образовании;
3.4.4. Сведения о месте работы (наименование, адрес работодателя);
3.4.5. Номер телефона;
3.4.6. Адрес электронной почты.
3.5. Перечень лиц, допущенных к обработке персональных данных в ООО НПЦ «МЕДИНФОРМ» формируется лицом, ответственным за организацию обработки ПДн в Обществе и утверждается приказом генерального директора Общества или лица, ответственного за организацию обработки ПДн в Обществе.
3.6. Общество не обрабатывает специальные категории ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
3.7. Общество не обрабатывает биометрические ПДн.
3.8. Общество не осуществляет трансграничную передачу персональных данных.
3.9. Общество не принимает решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн.
3.10. Регистрация пользователя на Интернет-сайте, позволяющая до момента завершения регистрации ознакомиться с настоящим Положением, признается согласием пользователя Интернет-сайт на обработку его персональных данных в порядке и на условиях, предусмотренных с настоящим Положением.
3.10.1. Также согласие потенциального пользователя Интернет-сайта на обработку его ПДн в целях настоящего Положения может быть получено:
- через другие сайты в сети Интернет, принадлежащие ООО НПЦ «МЕДИНФОРМ»;
- на бумажном носителе;
- с использованием электронной подписи;
- конклюдентными действиями;
- иными способами, не запрещенными законодательством Российской Федерации.
3.11. В случае возникновения необходимости получения ПДн у третьих лиц, следует заранее известить об этом субъекта персональных данных, получить его согласие и сообщить ему о наименовании и адресе оператора, целях и правовых основаниях, предполагаемых источниках и способах получения ПДн, а также о предусмотренных Законом о персональных данных правах субъекта ПДн.
3.12. Субъекты ПДн имеют право на получение сведений, указанных в Законе о персональных данных. Субъекты ПДн вправе требовать от Общества уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4. ЛОКАЛИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
При сборе ПДн субъектов ПДн, являющихся гражданами Российской Федерации, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

5. ПРОЦЕДУРА ОЦЕНКИ ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПРОЕКТИРУЕМАЯ ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Общество оценивает воздействия на защиту персональных данных для выявления потенциальных рисков и внедрении соответствующих контролей при планировании новых бизнес-процессов, в рамках которых осуществляется обработка ПДн, или обновлении существующих бизнес-процессов.
5.2 При проектировании и разработке новых или изменении существующих систем (сайтов, мобильных приложений) или процессов Общество внедряет необходимые организационные и технические меры для обеспечения эффективной защиты ПДн.
6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 В случаях, предусмотренных Законом о персональных данных, Общество может осуществлять передачу ПДн государственным и муниципальным органам и иным операторам ПДн. В частности, Общество может передавать ПДн следующим органам власти в рамках их компетенции:

• налоговые органы;
• таможенные органы;
• финансовые органы;
• правоохранительные органы;
• пограничные органы;
• миграционные органы;
• органы экспортного контроля;
• органы исполнительной власти, уполномоченные в области противодействия техническим разведкам и технической защиты информации;
• органы исполнительной власти, уполномоченные в области безопасности;
• органы, осуществляющие функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций;
• антимонопольные органы;
• органы исполнительной власти, осуществляющие официальный статистический учет и контроль в сфере официального статистического учета;
• органы, осуществляющие государственный надзор за соблюдением трудового законодательства;
• военные комиссариаты и иные органы, осуществляющие воинский учет;
• органы социальной защиты;
• органы социального страхования;
• пенсионные фонды;
• органы, осуществляющие функции по контролю и надзору в сфере здравоохранения;
• подразделения муниципальных органов управления.

6.2 Передача ПДн для обработки иным третьим лицам в иных случаях допускается при одновременном соблюдении следующих условий:

• Обработка третьим лицом ПДн, предоставленных Обществу субъектом ПДн (его законным представителем), осуществляется при условии, что:
• есть согласие субъекта ПДн (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями Закона о персональных данных; или
• третье лицо, которому передаются ПДн, подтвердит наличие у него иных законных оснований для получения ПДн у Общества и его последующей обработки.
• Передача ПДн третьему лицу осуществляется только на основании договора, заключенного с Обществом, в котором:
• определены перечень действий (операций), которые будут осуществляться с ПДн;
• определены цели обработки ПДн (в случае поручения Обществом третьему лицу осуществлять обработку ПДн);
• установлена обязанность третьего лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
• указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона о персональных данных;
• установлена обязанность третьего лица не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
• В отношении третьего лица, которому передаются ПДн проведены все необходимые процедуры комплексной проверки, а именно:
• Оценка соблюдений соблюдения требований по обработке персональных данных поставщиком;
• Оценка рисков информационной безопасности.

6.3 Ответы на письменные запросы государственных органов и третьих лиц даются в письменной форме на бланке Общества и в том объеме, который позволяет не разглашать избыточный объем ПДн о субъектах ПДн.

7. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. СПЕЦИАЛИСТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Лицо, ответственное за организацию обработки персональных данных, назначается приказом генерального директора Общества, в соответствии со статьей 22.1 Закона о персональных данных.
7.2 Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от генерального директора Общества и подотчетно ему.
7.3 Лицо, ответственное за организацию обработки персональных данных обязано, помимо прочего:

• осуществлять внутренний контроль за соблюдением Обществом и его Работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
• доводить до сведения Работников положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
• организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

7.4 В Обществе назначаются специалисты по защите персональных данных. Специалисты по защите персональных данных являются координаторами по внедрению Глобальной программы по защите персональных данных.

8. ОЦЕНКА СОБЛЮДЕНИЙ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Общество проводит оценку и мониторинг соблюдения требований по защите ПДн для обеспечения эффективности защиты ПДн, выявления соответствующих рисков и внедрения технических и организационных механизмов контроля. Общество проводит самостоятельную оценку соблюдения требований по защите персональных данных.
8.2 Самостоятельная оценка соблюдения требований проводится Обществом как минимум раз в год.
8.3 Генеральный директор и высшее руководство Общества совместно со специалистами по защите персональных данных периодически оценивают соблюдение принципов и требований настоящего Положения, включая проверку результатов самостоятельной оценки соблюдения требований по защите персональных данных и утверждение мер, направленных на улучшение общего уровня защиты ПДн в обществе.

9. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Общество обеспечивает наличие достаточных средств контроля и возможностей для обнаружения и сообщения об инцидентах с ПДн. Под инцидентом с ПДн понимается любое нарушение применимых политик и процедур по работе с ПДн, включая случайное или незаконное уничтожение, потерю, изменение ПДн или несанкционированные разглашение или доступ к ПДн.

10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, материальную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.