г. Москва, 28 января 2019 года
ОБЩИЕ ПОЛОЖЕНИЯ
Положение об обработке персональных данных в ООО «Др. Редди’c Лабораторис» (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» (далее – ФЗ 152), Трудовым кодексом Российской Федерации (далее – ТК РФ), а также «Перечнем сведений конфиденциального характера», утвержденным Указом Президента Российской Федерации от 06.03.1997 № 188.
Настоящее Положение определяет порядок обработки персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых в ООО «Др. Редди’c Лабораторис» (далее – Оператор) с использованием средств автоматизации и без использования таких средств.
В Положении используются следующие основные понятия:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
>персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Действие Положения распространяется на все структурные подразделения Оператора.Настоящее Положение должно быть доведено до каждого работника Оператора, осуществляющего обработку ПДн, под роспись.
СУБЪЕКТЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Цели обработки ПДн, основания для их обработки, возможные действия (операции), совершаемые с ПДн, сроки обработки и состав обрабатываемых ПДн категорий субъектов ПДн, обрабатываемых у Оператора, указаны в Перечне обрабатываемых ПДн.
ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Назначение ответственных лиц
Для организации обработки ПДн у Оператора назначается ответственное лицо – Ответственный за обработку персональных данных на основании приказа руководителя Оператора.
Для определения уровня защищенности ИСПДн, проверки готовности средств защиты информации к использованию, а также уничтожения ПДн приказом руководителя Оператора назначается Комиссия по приведению в соответствие с требованиями законодательства Российской Федерации в области ПДн (далее – Комиссия).
В своей работе Комиссия руководствуется Положением о комиссии по приведению деятельности в соответствие требованиям законодательства Российской Федерации в области ПДн, утвержденным приказом руководителя Оператора.
3.2. Допуск работников к обработке персональных данных
Допуск работников Оператора к обработке ПДн осуществляется на основании приказа о назначении на должность в соответствии с Перечнем должностей и третьих лиц, имеющих доступ к ПДн. Работники Оператора получают доступ к обработке ПДн для выполнения ими служебных (трудовых) обязанностей, после выполнения следующих мероприятий:
ознакомления под роспись с руководящими документами Оператора и нормативными актами Российской Федерации по обработке и обеспечению безопасности ПДн;
оформления письменного обязательства о неразглашении ПДн, форма которого утверждена приказом руководителя Оператора.
Работники Оператора, имеющие допуск к ПДн, имеют право получать только те ПДн, которые необходимы им для выполнения служебных (трудовых) обязанностей в соответствии с целями обработки ПДн у Оператора.
3.3. Получение персональных данных
ПДн субъекта получаются от него самого или от его законного представителя. В случае, если ПДн получены не от субъекта ПДн, Оператор до начала обработки таких ПДн обязан уведомить субъекта о получении его ПДн.
3.4. Систематизация, накопление, уточнение и использование персональных данных
Систематизация, накопление, уточнение и использование персональных данных осуществляется путем оформления и ведения документов учета и баз данных субъектов персональных данных. Работники Оператора, имеющие доступ к ПДн, должны обеспечить их обработку, исключающую несанкционированный доступ к ним третьих лиц.
3.5. Передача персональных данных
Передача персональных данных субъектов третьим лицам может осуществляться только при наличии письменного согласия субъекта, если иное не предусмотрено федеральным законодательством. При передаче ПДн субъектов третьим лицам, с третьим лицом должно быть подписано Соглашение об обеспечении безопасности ПДн, переданных на обработку, форма которого утверждена приказом руководителя Оператора.
Передача ПДн субъектов между подразделениями Оператора должна осуществляться только между работниками, допущенными к обработке ПДн.
3.6. Хранение персональных данных
Хранение ПДн субъектов осуществляется на бумажных и машинных носителях информации в специально выделенных хранилищах подразделений Оператора, а также в ИСПДн Оператора, обеспечивающих сохранность ПДн и их защиту от несанкционированного доступа. Уничтожение ПДн в ИСПДн, на машинных и бумажных носителях информации должно производиться в течение тридцати дней с даты достижения цели обработки (предельного срока хранения) ПДн. При невозможности уничтожения ПДн в течение тридцати дней с даты достижения цели обработки ПДн, обеспечивается их блокирование и уничтожение в срок, не превышающий шести месяцев. Порядок и правила учета, хранения и уничтожения ПДн описаны в Регламенте учета, хранения и уничтожения носителей ПДн.
3.7. Уведомление об обработке персональных данных
Согласно ст. 22 ФЗ 152 Оператор уведомляет Уполномоченный орган по защите прав субъектов ПДн об обработке ПДн.
В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки ПДн Оператор также уведомляет об этом Уполномоченный орган.
ОСОБЕННОСТИ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
ПДн при их обработке без использования средств автоматизации обособляются от иной информации путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
При фиксации ПДн на материальных носителях не допускается запись на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы. При обработке различных категорий ПДн без использования средств автоматизации для каждой категории ПДн должен использоваться отдельный материальный носитель.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, должны соблюдаться следующие условия:
типовая форма должна содержать сведения о цели обработки ПДн, наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн – при необходимости получения письменного согласия на обработку ПДн;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн.
Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
Уточнение ПДн при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.
Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы:
о факте обработки ими ПДн, обработка которых осуществляется без использования средств автоматизации;
о категориях обрабатываемых ПДн;
об особенностях и правилах осуществления такой обработки.
Форма Листа уведомления о факте осуществления обработки ПДн без использования средств автоматизации, приведена в Приложении №1 к Положению.
ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПДн обрабатываются у Оператора как с использованием средств автоматизации, так и без использования таких средств в зависимости от целей использования ПДн.
Порядок обработки и защиты ПДн в ИСПДн Оператора определяется Положением об обеспечении безопасности ПДн.
Защита ПДн от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств.
Работники Оператора, которые в рамках исполнения должностных обязанностей имеют доступ к ПДн, обязаны соблюдать режим конфиденциальности ПДн на всех этапах их обработки.
В отсутствие работника на его рабочем месте не должно быть документов и открытых для постороннего доступа машинных носителей информации, содержащих ПДн.
Доступ работников Оператора и иных лиц в помещения, в которых осуществляется обработка и хранение ПДн, ограничивается организационными мерами и применением системы контроля и управления доступом.
Учитывая массовость и единые места обработки и хранения, гриф «конфиденциально» на документах, содержащих ПДн, не ставится, при этом в отношении ПДн сохраняется режим конфиденциальности при их обработке у Оператора.
Организацию обработки ПДн субъектов, контроль соблюдения мер их защиты в структурных подразделениях Оператора, работники которых имеют доступ к ПДн, осуществляют их непосредственные руководители.
Мероприятия по защите ПДн осуществляются в соответствии с Планом мероприятий по приведению деятельности в соответствие требованиям законодательства Российской Федерации в области ПДн, утверждаемых руководителем Оператора.
Разработка и осуществление мероприятий по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, может осуществляться сторонними организациями – независимыми подрядчиками по договору с Оператором, имеющими лицензии и\или применимые разрешения на право проведения соответствующих работ\оказание услуг.
ПОРЯДОК ОБРАБОТКИ ОБРАЩЕНИЙ СУБЪЕКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Порядок обработки запросов субъектов ПДн описан в Регламенте реагирования на запросы субъектов ПДн. Порядок обработки запросов уполномоченных органов в области ПДн осуществляется в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" от 26.12.2008 N 294-ФЗ и административными регламентами уполномоченных органов в области ПДн.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Иные права и обязанности работников, в функции которых входит обработка ПДн, определяются Инструкцией пользователя ИСПДн.
Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Moscow, January 28, 2019
GENERAL PROVISIONS
Regulations on personal data processing at Dr. Reddy's Laboratories LLC (hereinafter - "Regulations") were developed in accordance with Federal Law dated 27.07.2006 No. 152 FZ "On Personal Data" (hereinafter - FZ 152), Labor Code of the Russian Federation (hereinafter - LC of RF), as well as the List of Confidential Information approved by the Order of the President of the Russian Federation dated 06.03.1997 No. 188.
These Regulations define the procedure of personal data processing and determine general requirements to the provision of security of the personal data processed at Dr. Reddy's Laboratories LLC (hereinafter referred to as "Operator") both with and without means of automation.
The following basic terms are used in these Regulations:
automated personal data processing shall mean personal data processing by means of computer technology;
personal data blocking shall mean temporary cessation of personal data processing (except when processing is required to specify personal data);
personal data information system (PDIS) - a complex of personal data contained in personal databases and information technologies and hardware involved in its processing;
personal data depersonalization shall mean actions leading to impossibility to assign personal data to a specific personal data subject without using additional information;
personal data processing shall mean any action (operation) or a set of actions (operations) performed with or without automation means in respect of personal data, including their collection, recording, systematization, accumulation, storing, improvement (updating and amending), extraction, use, transfer (dissemination, provision, access), depersonalization, blocking, deletion and destruction;
operator shall mean a state body, municipal body, legal entity or an individual that independently or jointly with other persons manages and (or) performs personal data processing and defines the purposes of personal data processing, contents of the personal data to be processed, and actions (operations) performed with the personal data.
personal data (PD) shall mean any information related to a directly or indirectly identified or identifiable individual (a personal data subject);
personal data provision shall mean actions aimed to disclose personal data to a certain person or a certain group of persons;
personal data dissemination shall mean actions aimed to disclose personal data to an undefined group of people (personal data transfer) or to get familiarized with the personal data of an unlimited group of people, including data disclosure in mass media, its posting in data telecommunication networks or other provision of access to personal data;
cross-border transfer of personal data shall mean personal data transfer to a state authority of a foreign country to the territory of such foreign country, to a foreign individual or a foreign legal entity;
personal data destruction shall mean actions leading to impossibility to restore the contents of the personal data in the personal data information system and (or) resulting in the destruction of material personal data holding device.
The Regulations are applied to all business units of the Operator.
These Regulations shall be communicated to each of the Operator's employees engaged in PD processing against written acknowledgment.
SUBJECTS AND PURPOSES OF PERSONAL DATA PROCESSING
Purposes of PD processing, grounds for its processing, possible actions (operations) performed in its respect, processing timeframe and composition of the processed PD of PD subject categories processed via the Operator are specified in the List of Processed PD.
PERSONAL DATA PROCESSING MANAGEMENT
3.1. Appointment of responsible persons
A person responsible for PD processing management - Personal Data Processing Coordinator - shall be appointed at the Operator's company on the grounds of an order issued by the Operator's General manager.
To determine the PDIS security level, check the information protection means operating readiness, and to destruct PD, a Commission for Compliance with Requirements of Legislation on PD processing of the Russian Federation shall be appointed by the order of the Operator's General manager (hereinafter referred to as "Commission").
In its work, the Commission shall be guided by Regulations on Compliance of Activities with Requirements of PD Legislation of the Russian Federation approved by the order of the Operator's manager.
3.2. Clearance of employees for personal data processing
An access of the Operator's employees for PD processing shall be provided on the basis of an appointment order in compliance with the List of Positions and Third Persons with PD Access.
The Operator's employees shall approach to PD processing in order to fulfill their job duties upon completion of the following activities:
familiarization against a written acknowledgment with the Operator's governing documents and enactments of the Russian Federation relating to PD processing and security;
completion of a written nondisclosure obligation in respect of PD, which format was approved by the order of the Operator's manager.
The Operator's employees with the access to PD may obtain only PD required for their performance of job duties in compliance with the objectives of PD processing at the Operator's company.
3.3. Personal data receipt
A subject's PD shall be received only from such subject or his\her legal representative. If PD was received not from a PD subject, the Operator shall inform the individual (subject of PD) of having received its PD prior to processing such PD.
3.4. Personal data systematization, accumulation, refinement and usage
Systematization, accumulation, refinement and usage of personal data shall be realized by means of execution and maintenance of accounting documents and databases of personal data subjects (individuals).
The Operator's employees with access to PD shall ensure its processing and eliminate any unauthorized third-party access to such PD.
3.5. Personal data transfer
A subject's personal data may be transferred to third parties only upon the subject's written consent, unless otherwise provided by the federal legislation.
When a subject's PD is transferred to third parties, a Agreement on maintenance of PD security shall be signed with such third party in respect of PD subject to processing, which format was approved by the order of the Operator's manager.
A subject's PD shall be transferred across the Operator's business units only between the employees authorized to process PD.
3.6. Personal data storage
An individual subject's PD shall be stored on paper and machine-readable holding devices (media) in specially dedicated repositories of the Operator's units, as well as in the Operator's PDIS ensuring PD security and its protection against unauthorized access.
PD destruction in PDIS, on machine-readable and paper holders shall be performed within thirty (30) days from the date of achievement of the PD processing purpose (maximum term of storage). If PD cannot be destructed within thirty (30) days from the date of achievement of the PD processing purpose, it shall be blocked and destructed within the time period not exceeding six months.
The manner and rules of PD accounting, storage and destruction are described in PD Media Accounting, Storage and Destruction Regulations.
3.7. Notification on personal data processing
As per Art. 22 of the Federal Law 152, the Operator informs the Authorized Body for Protection of Rights of PD Subjects in respect to PD processing. In case of changes in the information specified in the notification or in case of cessation of PD processing, the Operator shall also inform the Authorized Body hereof.
SPECIFICS OF PERSONAL DATA PROCESSING MANAGEMENT WITHOUT AUTOMATION MEANS
In case of PD processing without the use of automation means, such PD shall be detached from other information by way of its recording on separate material PD holding devices in special sections or in the margin of forms (blank sheets).
When PD is recorded on material media, personal data with incompatible processing purposes may not be recorded on the same material PD medium. When different PD categories are processed without automation means, a separate material medium shall be used for each PD category.
When using standard forms of documents that contain information suggesting or permitting the inclusion of personal data therein, the following conditions shall be met:
a standard form shall contain information on PD processing purpose, the Personal Data holder's name and address, surname, name, patronymic and address of the PD subject, PD source, PD processing timeframe, list of PD operations to be performed during processing, general description of the individual PD processing methods to be used by the Operator;
a standard form shall contain a field, where the individual PD subject can put a mark stating his/her consent to personal data processing if a written consent to personal data processing is required.
a standard form shall be designed in such a way as to allow each PD subject in the document to review its PD contained in the document without violating the rights and legitimate interests of other PD subjects.
a standard form shall not combine fields for PD with incompatible processing purposes.
If a material holding device contains PD with incompatible purposes and such device does not allow PD processing apart from other PD recorded on the same device, measures shall be taken to ensure separate PD processing.
PD (material device) with different processing purposes shall be stored separately.
If allowed by the material holding device, PD may be partially destructed or depersonalized in a way of eliminating further processing of such PD with the possibility of processing other data recorded on such material device.
PD refinement during its processing without automation means shall be performed by way of its update or alternation on the material device and, if that is not allowed by technical specifics of the material device, by way of recording information concerning such changes on the same material device or by way of producing a new material device containing refined PD.
Persons (authorized employees) who perform PD processing without automation means shall be informed:
about their processing of PD, which is processed without automation means;
about the categories of processed PD;
about the specifics and rules of such processing.
The format of Notification on PD Processing Without Automation Means is given in Appendix No.1 herein.
PERSONAL DATA PROTECTION MANAGEMENT
The Operator processes PD both with and without automation means, depending on the purpose of PD usage.
The manner of PD processing and protection in the Operator's PDIS shall be defined by PD Security Regulations.
The Operator shall ensure, at its own expense, PD protection against unauthorized usage or loss.
The Operator's employees with access to PD as part of their job duties shall maintain PD confidentiality regime at all stages of its processing.
In the employee's absence, there shall be no documents and machine-readable devices containing PD at his/her workplace that could be accessed by third parties.
An Access of the Operator's staff and other persons to the facilities where PD is processed and stored shall be restricted by organizational procedures, as well as control and access management system.
Considering large-scale involvement and shared places of processing and storage, a "confidential" mark shall be made on the documents containing PD; however, confidentiality shall be maintained in respect of PD during its processing by the Operator. The subjects' PD processing management and control over observance of PD protection measures in the Operator's business units, where employees have access to PD, shall be maintained by their direct line-managers.
PD protection measures shall be implemented only in accordance with the Action Plan for Compliance of Activity with Requirements of PD Legislation of the Russian Federation approved by the Operator's manager.
Development and implementation of measures to ensure safety of the PD processed in PDIS may be performed by third-party companies - independent contractors under an agreement with the Operator that have licenses and/or applicable permits for the performance of relevant works/provision of services.
PROCEDURE OF PROCESSING SUBJECTS' APPLICATIONS CONCERNING PERSONAL DATA PROCESSING
The procedure of processing PD subjects' applications is described in the Regulations on Response to PD Subjects' Requests.
An order of response to requests of authorized bodies relating to PD shall be processed in accordance with Federal Law "On Protection of Rights of Legal Entities and Individual Entrepreneurs in the Exercise of State Control (Supervision) and Municipal Control" dated 26.12.2008 No. 294-FZ and administrative regulations of authorized bodies relating to PD.
FINAL PROVISIONS
Other rights and liabilities of the employees that job functions involve PD processing shall be determined by PDIS User Guide.
The persons guilty of violation of the standards regulating PD processing and protection shall bear material, disciplinary, administrative, civil or criminal responsibility in the manner prescribed by federal laws.