1.1.             Настоящее Положение об обработке персональных данных (далее – «Положение») определяет политику Компании в отношении обработки персональных данных, порядок обработки Компанией персональных данных субъектов (пользователей сайта), включая порядок их сбора, систематизации, хранения, изменения, дополнения, использования, предоставления, распространения, передачи, обезличивания и уничтожения.

1.2.             Упорядочение обращения с персональными данными имеет целью обеспечить права и свободы субъектов при обработке персональных данных, сохранение конфиденциальности персональных данных и их защиту.

1.3.             Положение разработано на основе и во исполнение:

a)       Конституции Республики Узбекистан;

b)      Закон Республики Узбекистан от 02.07.2019 г. ЗРУ-547 «О персональных данных»;

c)       Закон Республики Узбекистан от от 11.12.2003 г. № 560-II «Об информации»;

d)      Закон Республики Узбекистан от 24.04.1997 г. № 400-I «О гарантиях и свободе доступа к информации»;

e)      Закон Республики Узбекистан от 12.12.2002 №439-II «О принципах и гарантиях свободы информации»;

f)        иных нормативных правовых актов Республики Узбекистан, а также международных актов, ратифицированных Республикой Узбекистан.

2.1. В настоящем Положении используются следующие основные понятия и термины:

a) Компания или Оператор - Общество с ограниченной ответственностью «Ново Нордиск» ИНН: 7729427770, расположенное по адресу: 121614, г. Москва, ул. Крылатская, д. 15, оф. 41;

b) Группа компаний - группа юридических лиц, объединенных под брендом глобальной фармацевтической компании «Ново Нордиск» (Дания); 

c) персональные данные - зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся прямо или косвенно к определенному или определяемому субъекту дающая возможность его идентификации (субъекту персональных данных);

d) субъект персональных данных или субъект - физическое лицо, который является пользователем сайта, к которому относятся обрабатываемые Компанией персональные данные;

e) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

f) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее;

g) обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) - действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека;

h) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение во Всемирной информационной сети Интернет или предоставление доступа к персональным данным каким-либо иным способом;

i) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

j) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

k) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

l) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

m) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.1. Компания обрабатывает персональные данные следующих категорий субъектов:

a) пользователи сайта;

b) иные субъекты, взаимодействие которых с Оператором создает необходимость обработки персональных данных.

4.1. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Компании реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.

4.2. Персональные данные пользователей сайта могут включать:

a) фамилия, имя, отчество;

b) гражданство; 

c) данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;

d) контактные данные (включая номера рабочего и/или мобильного телефона, электронной почты и др.);

e) сведения о месте фактического проживания;

f) должность;

g) наименование Работодателя;

h) сведения об адресе местонахождения Работодателя;

i) сведения о выплатах;

j) идентификационный номер налогоплательщика;

k) сведения медицинского характера (в случаях, предусмотренных законодательством);

4.3. Персональные данные иных субъектов включают:

a) фамилия, им я, отчество;

b) контактные данные;

c) иные данные, необходимые для исполнения взаимных прав и обязанностей между Компанией и субъектом.

5.1. Обработка персональных данных субъектов основывается на следующих принципах:

a) Обработка персональных данных должна осуществляться на законной и справедливой основе.

b) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

c) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

d) Обработке подлежат только персональные данные, которые отвечают целям их обработки.

e) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

f) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

g) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не предусмотрено законодательством или договором. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

6.1. Обработка персональных данных субъектов осуществляется c целью предоставления доступа субъектам к Сайту Компании, а именно для:

a) предоставления информации о продукции Компании;

b) проведения мероприятий и обеспечения участия в них субъектов персональных данных;

c) предоставление медико-научной, справочно-информационной и иной информации от Компании;

d) обработки обращений с претензиями и информацией по безопасности продуктов;

e) обработки обращений о негативных явлениях и побочных эффектах;

f) осуществления мониторинга эффективности и безопасности лекарственных средств;

g) осуществления и выполнения функций, полномочий и обязанностей, возложенных на Компанию законодательством Республики Узбекистан и международными договорами Республики Узбекистан;

h) исполнения требований Фармаконадзора, в частности ст. 13 Закона от 25.04.1997 № 415-I «О лекарственных средств и фармацевтической деятельности»;

i) иные цели, направленные на обеспечение соблюдения интересов Компании и требований законов и иных нормативных правовых актов.

6.2. Персональные данные обрабатываются исключительно для достижения указанной законной цели. Для использования данных в других целях необходимо получить новое согласие на обработку.

6.3. Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.

7.1. Общие правила

 

7.1.1. Обработка персональных данных осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе, с использованием внутренней сети и сети Интернет.

7.1.2. В случаях, установленных законодательством Республики Узбекистан, основным условием обработки персональных данных является получение согласие соответствующего субъекта персональных данных, в том числе, в письменной форме. Автоматизированная обработка персональных данных допускается при наличии согласия субъекта в письменной форме, в том числе в виде электронного документа.

7.1.3. Согласие субъекта персональных данных на обработку его персональных данных должно как минимум включать в себя:

a) фамилию, имя, отчество;

b) фамилию, имя, отчество представителя субъекта персональных данных;

c) наименование и адрес Компании, получающей согласие субъекта персональных данных;

d) цель обработки персональных данных;

e) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

f) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

g) срок, в течение которого действует согласие, а также порядок его отзыва;

h) личная подпись или ее аналог субъекта персональных данных.

7.1.4. В случаях, когда требуется согласие субъекта персональных данных на обработку персональных данных, но не требуется согласие в письменной форме, субъект персональных данных может предоставить согласие средствами электронной связи, Интернет, по электронной почте или по факсу.

 

7.2. Сбор

 

7.2.1. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

7.2.2. Если иное не установлено законом, Компания вправе получать персональные данные субъекта персональных данных от третьих лиц только при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц. При получении персональных данных от третьих лиц необходимо уведомление субъекта персональных данных о получении его персональных данных от третьих лиц.

7.2.3. Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:

a) наименование Оператора и адрес его местонахождения,

b) цель обработки персональных данных и ее правовое основание,

c) предполагаемые пользователи персональных данных,

d) установленные законом права субъекта персональных данных,

e) источник получения персональных данных.

 

7.3. Хранение

 

7.3.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.

7.3.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Компанией в рамках организации в целом.

7.3.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Компанией информационных систем и специально обозначенных Компанией баз данных (внесистемное хранение персональных данных) не допускается.

7.3.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Узбекистан или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.3.5. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

7.3.6. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. 

7.3.7. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

 

7.4. Использование

 

7.4.1. Персональные данные обрабатываются и используются для цели, указанной в п. 6.1 Положения.

7.4.2. Доступ к персональным данным предоставляется только тем лицам, обязанности которых предполагают работу с соответствующими персональными данными, и только на период, необходимый для работы с данными.

7.4.3. Работники Компании, связанные с обработкой персональных данных, обязаны не допускать разглашения персональных данных, которые им были доверены или стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей.

 

7.5. Передача и предоставление

 

7.5.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

7.5.2. Предоставление персональных данных третьим лицам, в том числе, в коммерческих целях, допускается только при наличии согласия субъекта, либо иного законного основания.

7.5.3. При предоставлении персональных данных третьим лицам субъект должен быть уведомлен о таком предоставлении, за исключением случаев, определенных законом, в частности, если: 

a) субъект персональных данных согласен и уведомлен об осуществлении обработки его персональных данных оператором, который получил от Компании соответствующие данные;

b) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

c) персональные данные обрабатываются для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

7.5.4. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

7.5.5. Передача информации, содержащей персональные данные, может осуществляться на территории иностранных государств (трансграничная передача), в том числе на территории государств, не обеспечивающих адекватной защиты прав субъектов персональных данных при наличии согласия субъекта. Такая передача осуществляется в соответствии с требованиями и правилами, предусмотренными законодательством Республики Узбекистан для трансграничной передачи персональных данных.

7.5.6. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Компания вправе требовать от этих лиц подтверждение того, что это правило соблюдено.

7.5.7. В случаях, когда государственные органы имеют право запросить персональные данные, или персональные данные должны быть предоставлена в силу закона, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Узбекистан.

7.5.8. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в Компании, для предварительного рассмотрения и согласования.

 

7.6. Поручение обработки

 

7.6.1. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Узбекистан, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Республики Узбекистан.

7.6.2. Другие лица, связанные с обработкой персональных данных, обязаны не допускать разглашения персональных данных, которые им были доверены или стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей.

7.6.3. В договоре с лицом, осуществляющим обработку персональных данных по поручению Компании, данных должны быть определены:

a) перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;

b) цели обработки;

c) обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями законодательства Республики Узбекистан и ответственность за несоблюдение таких требований.

 

7.7. Защита

 

7.7.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

a) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

b) соблюдение конфиденциальности информации ограниченного доступа;

c) реализацию права на доступ к информации;

d) реализацию права субъекта на защиту от вмешательства в его частную жизнь;

e) обеспечение целостности и сохранности персональных данных;

7.7.2. Для защиты персональных данных Компания принимает необходимые предусмотренные законодательством меры, включая, но не ограничиваясь:

a) ограничивает и регламентирует круг лиц, обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе, путем использования паролей доступа к электронным информационным ресурсам);

b) обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;

c) организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;

d) контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе, установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);

e) проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

f) внедряет программные и технические средства защиты информации в электронном виде;

g) обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним; и др.

7.7.3. Для защиты персональных данных при их обработке в информационных системах Компания проводит необходимые предусмотренные законодательством мероприятия, включая, но не ограничиваясь:

a) определение угроз безопасности персональных данных при их обработке;

b) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством уровни защищенности персональных данных;

c) учет машинных носителей персональных данных;

d) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

e) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

f) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

7.7.4. В Компании назначены лица, ответственные за организацию обработки персональных данных.

7.7.5. В Компании принимаются иные меры, направленные на обеспечение выполнения Компанией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Узбекистан.

8.1. Субъекты персональных данных вправе:

a) иметь доступ к своим персональным данным;

b) отозвать согласие на обработку их персональных данных;

c) изменять, уточнять, уничтожать и блокировать свои персональные данные;

d) получать информацию, касающуюся обработки своих персональных данных;

e) обжаловать неправомерные действия или бездействия при обработке персональных данных и требовать соответствующей компенсации в суде в порядке, предусмотренном законодательством;

f) определять представителей для защиты своих персональных данных и представительства своих интересов в порядке, предусмотренном законодательством;

g) защищать свои права и законные интересы в области персональных данных;

h) осуществлять иные права, предусмотренные законами, иными нормативными правовыми актами и локальными нормативными актами Представительства в области обработки и защиты персональных данных.

8.2. Право субъекта на доступ к его персональным данным может быть ограничено в случаях, когда предоставление такой информации нарушает права и законные интересы других лиц.

8.3. Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.

8.4. Субъект персональных данных обязан:

a) предоставлять Компании достоверные персональные данные;

b) своевременно сообщать Компании об изменениях и дополнениях своих персональных данных;

c) осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных;

d) исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных.

9.1. Компания вправе:

a) устанавливать правила обработки персональных данных в Компании, вносить изменения и дополнения в Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;

b) осуществлять иные права, предусмотренные законами, иными нормативными правовыми актами и локальными нормативными актами Представительства в области обработки и защиты персональных данных.

9.2. Компания обязана:

a) обеспечивать обработку персональных данных исключительно в целях, для которых они были собраны;

b) получать от субъекта персональных данных согласие на обработку его персональных данных, в том числе в письменной форме, в случаях, установленных законодательством Республики Узбекистан;

c) обрабатывать специальные категории персональных данных только с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством;

d) защищать персональные данные от их неправомерного использования или утраты;

e) исполнять иные обязанности, предусмотренные законодательством Республики Узбекистан и локальными нормативными актами Компании в области обработки и защиты персональных данных.

10.1. Компания несет установленную законодательством ответственность за нарушение законодательства Республики Узбекистан в области обработки и защиты персональных данных.

10.2. В случае если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией на основании заключенного с ней договора.

Your Career Guide