Политика конфиденциальности
1. Общие положения
1.1. Настоящая Политика ООО «КФД» (далее - Оператор) в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.
Понимая важность и ценность персональных данных, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, Оператор обеспечивает надежную защиту персональных данных.
Настоящая Политика действует в отношении всей информации, которую Оператор получает посредством своего официального сайта по адресу: www.cphd.ru, его программ и продуктов. Настоящая Политика применима также к информации, получаемой Оператором от субъектов персональных данных по телефону, электронной почте, факсу, посредством телеграмм, почтовых отправлений и т.п., а также путем заполнения субъектами персональных данных электронных форм, форм обратной связи, размещенных на сайте Оператора, в процессе реализации мониторинга безопасности обращения лекарственных средств и медицинских изделий.
Действие настоящей Политики распространяется на все процессы обработки персональных данных, независимо от формы предоставления персональных данных.
Использование субъектом персональных данных сервисов сайта, а также предоставление субъектом Оператору своих персональных данных любым способом, в том числе предусмотренным абзацем 4 настоящего раздела, означает безоговорочное согласие субъекта с настоящей Политикой и условиями обработки его персональных данных (предоставление информации является автоматическим выражением согласия). В случае несогласия с этими условиями субъект персональных данных должен воздержаться от использования сервисов.
Факт заполнения электронных форм, форм обратной связи, а также иного использования сайта является подтверждением ознакомления с условиями настоящей Политики и безоговорочного принятия ее условий.
Сообщая Оператору свой адрес электронной почты и номер телефона, субъект персональных данных - пользователь сайта, дает согласие на использование указанных средств связи Оператором.
В случае возникновения вопросов и претензий со стороны субъекта персональных данных, посетителя/пользователя сайта он может обратиться к Оператору по телефону 8- 800-234-61-16 или по электронной почте safety@cphd.ru или иным доступным и удобным для него способом.
На сайте Оператора могут быть размещены ссылки на сторонние сайты и службы, которые не подконтрольны Оператору, в связи с чем Оператор не несет ответственности за безопасность или конфиденциальность любой информации, собираемой сторонними сайтами или службами.
1.2. Оператор получает и обрабатывает персональные данные в соответствии со следующими нормативными и правовыми актами:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»);
- Федеральным законом от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств»;
- иными нормативными правовыми актами Российской Федерации.
1.3. Основные понятия, используемые в Политике:
1.3.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.3.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
1.3.3. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
1.3.4. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.3.5. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.3.6. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.3.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.3.8. Обезличивание персональных данных: - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.3.9. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3.11. Фармаконадзор - вид деятельности по мониторингу эффективности и безопасности лекарственных препаратов, направленный на выявление, оценку и
предотвращение нежелательных последствий применения лекарственных препаратов.
1.3.12. Медицинский работник (субъект персональных данных) - физическое лицо, которое имеет медицинское или иное образование, работает в медицинской организации и в трудовые (должностные) обязанности которого входит осуществление медицинской деятельности, либо физическое лицо, которое является индивидуальным предпринимателем, непосредственно осуществляющим медицинскую деятельность.
1.3.13. Фармацевтический работник (субъект персональных данных) - физическое лицо, которое имеет фармацевтическое образование, работает в фармацевтической организации и в трудовые обязанности которого входят оптовая торговля лекарственными средствами, их хранение, перевозка и (или) розничная торговля лекарственными препаратами для медицинского применения (далее - лекарственные препараты), их изготовление, отпуск, хранение и перевозка.
1.3.14. Репортер (субъект персональных данных) - любое физическое лицо, сообщившее о возникновении нежелательного события при применении лекарственного препарата.
1.3.15. Пациент (субъект персональных данных) - физическое лицо, у которого непосредственно произошло нежелательное событие при применении лекарственного препарата.
1.3.16. Граждане (субъекты персональных данных) - физические лица, заключившие гражданско-правовой договор с Оператором.
1.3.17. Работники (субъекты персональных данных) - физические лица, состоящие в трудовых отношениях с Оператором.
1.4. Оператор, получив доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2. Основные права субъектов персональных данных и обязанности Оператора
2.1. Субъект персональных данных имеет право на получение информации,
касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
2.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, петочпыми, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.3. Оператор персональных данных обязан:
- при сборе персональных данных предоставить информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных»;
- уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
- при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирование, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
- предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
- по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- при сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных»;
- в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональ данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных;
- уведомить субъекта персональных данных об уничтожении его персональных
данных.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных граждан и работников осуществляется на основе следующих принципов:
1) Обработка персональных данных должна осуществляться на законной и справедливой основе.
2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.
8) Непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ.
9) Своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки.
10) Преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных у Оператора с учетом появления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации.
11) Персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных.
12) Минимизация прав доступа: доступ к персональных данных предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей.
13) Гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Оператора, а также объема и состава обрабатываемых персональных данных.
14) Специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных осуществляются работниками, имеющих необходимые для этого квалификацию и опыт.
15) Эффективность процедур отбора кадров: кадровая политика Оператора предусматривает тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных.
16) Наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль.
17) Непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
3.2. У Оператора не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных Оператором, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывающиеся Оператором персональные данные уничтожаются или обезличиваются.
3.3. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости и актуальность по отношению к целям обработки.
3.4. Оператор принимает необходимые меры по удалению или уточнению неполных, или неточных персональных данных.
3.5. Безопасность персональных данных у Оператора обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
4. Цели сбора и обработки персональных данных
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2.Цели обработки персональных данных определены правовыми актами, регламентирующими деятельность Оператора, включая законодательство РФ в области защиты персональных данных для целей фармаконадзора, который осуществляется Федеральной службой по надзору в сфере здравоохранения (далее - Росздравнадзор) путем анализа представляемой субъектами обращения лекарственных средств информации о побочных действиях лекарственных средств, нежелательных реакциях, серьезных нежелательных реакциях, непредвиденных нежелательных реакциях при применении лекарственных препаратов, об индивидуальной непереносимости, отсутствии эффективности лекарственных препаратов (далее нежелательных реакций), а также об иных фактах и обстоятельствах, представляющих угрозу жизни или здоровью человека при применении лекарственных препаратов (далее - иной информации по безопасности и эффективности), выявленных на всех этапах обращения лекарственных препаратов в Российской Федерации и других государствах в целях выявления возможных негативных последствий их применения, индивидуальной непереносимости, предупреждения медицинских работников, пациентов и их защиты от применения таких лекарственньт препаратов.
4.3. Оператор обрабатывает персональные данные исключительно в следующих целях:
- обеспечения соблюдения федеральных законов, законодательства Российской Федерации в области персональных данных и иных нормативных правовые актов с учетом положений Федерального закона «О персональных данных»;
- оформления трудовых отношений, расчета и выдачи заработной платы или других доходов;
- исполнения требований налогового и пенсионного законодательства Российской Федерации в связи с исчислением и уплатой налога на доходы физических лиц на сумму доходов, страховых взносов на обязательное медицинское и пенсионное страхование, формированием и представлением установленной законодательством Российской Федерации отчетности (персонифицированных данных сведений о доходе, сумме удержанного налога на доходы физических лиц и др.) в органы Пенсионного фонда Российской Федерации, Федеральной налоговой службы Российской Федерации, Фонда социального страхования Российской Федерации, а также третьим лицам для предоставления сведений в случаях, предусмотренных федеральными законами и иными нормативно-правовыми актами Российской Федерации;
- организации кадрового учета Оператора, ведения кадрового делопроизводства;
- содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя;
- выполнения договорных обязательств;
- формирования информационных сообщений пациентам;
- реализации мониторинга безопасности обращения лекарственных средств и медицинских изделий;
- проведения клинических и/или неинтервенционных исследований;
- предоставления служебной мобильной связи;
- организации деловых поездок (командировок) Работников;
- выдачи доверенностей;
- участия в мероприятиях Оператора;
- иных целях, не противоречащих действующему законодательству РФ.
5. Правовые основания обработки персональных данных
5.1. Правовым основанием обработки персональных данных являются:
- совокупность правовые актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации, Налоговый кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон от 12.04.2010 N 61-ФЗ «Об обращении лекарственных средств», иные нормативные правовые акты Российской Федерации;
- договоры, заключаемые между Оператором и субъектом персональных данных;
- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
6.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.2. К категориям субъектов персональных данных, обрабатываемых Оператором, относятся:
6.2.1. Работники Оператора, бывшие работники, а также близкие родственники работников, кандидаты на работу.
6.2.2. Физические лица, заключившие с Оператором договоры гражданско-правового характера.
6.2.3. Физические лица, входящие в органы управления Оператора и не являющиеся работниками Оператора;
6.2.4. Контрагенты - представители юридических лиц, состоящих в договорных отношениях с Оператором.
6.2.5. Медицинские работники.
6.2.6. Фармацевтические работники.
6.2.7. Репортеры.
6.2.8. Пациенты, родственники пациентов, представители пациентов (в силу закона или на основании доверенности).
6.2.9. Иные лица, давшие Оператору свое согласие на обработку персональных данных.
6.3. Персональные данные, обрабатываемые Оператором:
- данные, полученные при осуществлении трудовых отношений;
- данные, полученные для осуществления отбора кандидатов на работу;
- данные, полученные при осуществлении гражданско-правовых отношений;
- данные, полученные от физических лиц, входящих в органы управления Оператора;
- данные, полученные от контрагентов - представителей юридических лиц, состоящих в договорных отношениях с Оператором;
- данные, полученные в ходе проведения клинических и/или неинтервенционных исследований;
- данные, полученные в ходе осуществления фармаконадзора.
6.4. Обработка персональных данных ведется:
- с использованием средств автоматизации;
- без использования средств автоматизации.
7. Обработка персональных данных
7.1. Получение персональных данных
7.1.1. Все персональные данные следует получать от самого субъекта или от его полномочного представителя в случаях, установленных действующим законодательством РФ. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
7.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
7.1.3. Получение персональных данных осуществляется на основании письменного согласия субъекта, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
В случаях, предусмотренных федеральным законодательством, обработка персональный данных осуществляется только с согласия Гражданина и Работника в письменной форме. Равнозначным содержащему собственноручную подпись Гражданина и Работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом «О персональных данных» электронной подписью. Согласие Гражданина и Работника в письменной форме на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество (при наличии), адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование и адрес Оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законодательством;
9) подпись субъекта персональных данных.
Для обработки персональных данных, содержащихся в согласии в письменной форме Гражданина и Работника на обработку его персональных данных, дополнительное согласие не требуется.
7.1.4. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Оператором, определяется в соответствии с законодательством и определяется локальными нормативными актами Оператора.
7.1.5. Оператор не имеет права получать и обрабатывать персональные данные субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом «О персональных данных». В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации, Оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
7.1.6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».
Решение, порождающее юридические последствия в отношении субъекта, или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта, или в случаях, предусмотренных федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
7.1.7. В рамках осуществления деятельности по фармаконадзору Оператор осуществляет сбор персональных данных посредством:
- телефонного сообщения на специально выделенный номер;
- заполнения электронной формы на сайте www.cphd.ru;
- получения информации по электронной почте safety@mail.ru;
- поступления информации по почте на адрес местонахождения Оператора;
- получения информации напрямую из клинических исследований, которые организовывает Оператор;
- информирования регуляторными органами.
7.1.8. Полный перечень персональных данных Граждан и Работников, собираемых Оператором, содержится в локальном нормативном акте Оператора, с которым Граждане и Работники должны быть ознакомлены под роспись.
7.1.9. Оператор в ходе осуществления фармаконадзора в зависимости от целей обработки собирает следующие сведения, относимые к персональным данным, соблюдая принцип разумной достаточности:
- Фамилия, Имя, Отчество (при наличии) репортера;
- Адрес (регистрации, фактического места проживания) репортера;
- Место работы, должность репортера;
- Адрес места работы репортера;
- Контактная информация репортера (контактный телефон, адрес электронной почты);
- Инициалы пациента;
- Пол пациента;
- Год рождения, Месяц рождения, Дата рождения пациента;
- Биометрические персональные данные пациента (рост в см, вес в кг);
- Сведения об исходном состоянии здоровья пациента — медицинский анамнез, в том числе наличие хронических заболеваний, аллергических реакций, нарушений функции печени и почек;
- Сведения о принимаемых в течение последних Зх месяцев препаратах, в том числе в рамках ответственного самолечения;
- Сведения о состоянии здоровья пациента, в том числе описание симптомов, синдромов и диагнозов, которые относятся к сообщаемому нежелательному событию, а также результаты диагностических процедур и обследований, включая данные об исходе события и назначенной терапии;
- Сведения о текущей беременности и ее исходах;
- Другие дополнительные сведения по желанию репортера/пациента.
7.2. Обработка персональных данных
7.2.1. Обработка персональных данных осуществляется:
- с согласия субъекта персональных данных на обработку его персональных данных;
- в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
- в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).
7.2.2. Доступ работников Оператора к обрабатываемых персональных данных осуществляется в соответствии с их должностными обязанностями и требованиями локальных актов Оператора.
7.2.3. Допущенные к обработке персональных данных п работники под роспись знакомятся с локальными актами Оператора, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников.
7.2.4. Оператором производится устранение выявленных нарушений законодательства об обработке и защите персональных данных.
7.2.5. Обработка биометрических персональных данных должна производиться в соответствии с требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
7.2.6. Оператор не осуществляет трансграничную передачу персональных данных.
7.2.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее — поручение Оператора). При этом Оператор в договоре обязует лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей политикой и Федеральным законом «О персональных данных».
7.2.8. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
7.2.9. Оператор обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
8. Запись информации
8.1. В ходе осуществления фармаконадзора ответственное лицо Оператора заносит полученные данные в персональный кейс нежелательного события, присваивая ему регистрационный номер для дальнейшей идентификации, состоящий из даты регистрации кейса и порядкового номера, вне зависимости от источника информации.
8.2. Занесение информации может осуществляться с использованием специальной электронной системы хранения и обработки данных, разработанной Оператором, или с использованием бумажных носителей с дальнейшим переносом в электронную систему.
9. Накопление, систематизация, уточнение данных
9.1. В ходе осуществления фармаконадзора в электронную систему хранения и обработки данных, разработанную Оператором, поступают данные из указанных выше источников путем ручного ввода данных ответственным лицом Оператора, а также по каналам сети «Интернет» автоматически. Вся информация передается строго по закодированным каналам с соблюдением требований безопасности.
9.2. Весь массив полученных данных систематизируется программой автоматически путем генерирования номера кейса и присвоения внутренних статусов этапов работы.
Номер кейса генерируется из даты регистрации случая и порядкового номера поступления информации в программу. Система статусов позволяет работать с кейсами в порядке их поступления и систематизировать информацию из всех источников одновременно.
9.3. При необходимости уточнения данных кейса ответственное лицо Оператора связывается с репортером, используя предоставленную контактную информацию. Вся вновь поступившая информация заносится в кейс события с использованием специальной электронной системы хранения и обработки данных, разработанной Оператором, или с использованием бумажных носителей с дальнейших переносом в электронную систему. Кейсу события в данном случае присваивается номер версии, следующий за предыдущим, при этом номер кейса остается прежним. Вся измененная информация, которая была занесена ранее, хранится в предыдущей версии.
10. Хранение персональных данных
10.1. Информация персонального характера Гражданина и Работника хранится и обрабатывается с соблюдением требований действующего российского законодательства о защите персональных данных.
10.2. Порядок хранения документов, содержащих персональные данные Работников осуществлять в соответствии с:
- Правилами, устанавливающими порядок ведения и хранения трудовых книжек, а также порядок изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства РФ от 16 апреля 2003 г. № 225 «О трудовых книжках»;
- Федеральным законом от 27 июля 2006 г. № І49-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 г. № І52-ФЗ «О персональных данных»;
- Постановлением Правительства Российской Федерации от 06 июля 2008 г. Х° 512
«Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
10.3. Обработка персональных данных Граждан и Работников Оператора осуществляется смешанным путем:
- неавтоматизированным способом обработки персональных данных;
- автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
10.4. Персональные данные Граждан и Работников хранятся на бумажных носителях и в электронном виде.
10.5. Хранение персональных данных Граждан и Работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные Граждан и Работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
10.6. Оператор обеспечивает ограничение доступа к персональным данным Граждан и Работников лицам, не уполномоченным Оператором для получения соответствующих сведений.
10.7. Все собранные данные в рамках фармаконадзора после занесения в электронную систему хранения и обработки данных, разработанную Оператором, хранятся в базе данных MS SQL программы. Программа находится на сервере Оператора. Информация с сервера Оператора подлежит регулярному резервному копированию. Срок хранения данных в электронной системе хранения и обработки данных: три года. Срок хранения резервных копий: бессрочно.
Резервное копирование у Оператора осуществляется при помощи программы Windows Server BackUp. Резервное копирование данных с дискового массива осуществляется ежедневно в 2:00 на внешний носитель HDD. В папках с важной документацией настраиваются теневые копии внутри сервера каждые 6 часов (хранятся последние 64 копии). Все копии полностью автоматические с последующим журналированием. Диски сервера физически дублируют друг друга на случай отказа одного из них.
Информация на бумажных носителях хранится до переноса в электронную систему хранения и обработки данных в архиве Оператора, в последующем уничтожается путем измельчения.
По окончании всех этапов работы с сообщением, данные, сформированные в один кейс, направляются в Росздравнадзор Ярославской области в порядке и сроки, установленные отдельно заключенным соглашением. Информация передается в закодированном виде с использованием прямых каналов связи. Данные пациента передаются только в обезличенном виде.
11. Уничтожение персональных данных
11.1. Под уничтожением персональных данных, чьи персональные данные обрабатываются в информационной системе персональных данных, понимается действия, в результате которых невозможно достоверно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носитель персональных данных.
11.2. Уничтожение персональных данных должно соответствовать следующим требованиям:
11.2.1. Быть максимально надежных и конфиденциальным, исключая возможность последующего восстановления.
11.2.2. Оформляться юридически в виде акта об удалении персональных данных.
11.2.3. Должно проводиться комиссией по уничтожению персональных данных.
11.2.4. Уничтожение должно касаться только тех персональных данных, которые подлежат уничтожению в связи с достижением целей обработки указанных персональных данных, либо утраты необходимости в их достижения.
Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижению этих целей или в случае утраты необходимости в их достижении, но не более 30 дней с момента прекращения их обработки.
11.2.5. Носители персональных данных субъектов персональных данных уничтожаются по достижению целей их обработки или в случае утраты необходимости в их достижении в составе Комиссии с использованием следующих средств:
- уничтожение персональных данных, хранящихся в информационных системах персональных данных, осуществляется путем удаления соответствующих значений в базе данных средствами операционной системы компьютера, исключающего возможность восстановления этих данных;
- уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части (шредер), исключающие возможность последующего восстановления информации.
11.3. Ответственное лицо за выполнение требований настоящей Политики назначается приказом директора.
11.4. В рамках осуществления фармаконадзора удаление данных, срок хранения которых в электронной системе хранения и обработки данных истек, осуществляется после архивирования массива данных на внешний жесткий диск вручную. Внешний жесткий диск с информацией хранится в сейфе архива Оператора.
12. Меры по обеспечению безопасности персональных данных при их обработке
12.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
12.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- изданием локальнын актов по вопросам обработки персональньт данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- назначение ответственного за организацию обработки персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- применением сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
- установлением индивидуальных паролей доступа Работников в информационную систему в соответствии с их производственными обязанностями;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональнътм данным, обрабатываемых в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- проверкой наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
- поддержанием технических средств охраны, сигнализации в постоянной готовности;
- оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательство Российской Федерации, соотношением указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;
- соблюдением условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
- ознакомлением Работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучением Работников Оператора.
- осуществлением внутреннего контроля и аудита.
13. Обработка персональных данных без использования средств автоматизации
13.1. Правила работы с персональными данными и их материальными носителями без использования средств автоматизации определены в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным постановлением Правительства РФ от 15.09.2008 N 687. Обработка персональных данных, полученных от субъекта, считается осуществленной без использования средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Документ, содержащий персональные данные — материальный носитель с зафиксированной на нем в любой форме информацией, содержащей персональные данные работников в виде текста, фотографии и (или) их сочетания.
13.2. Обработка персональных данных ведется в отношении личных персональных данных (персональные данные, подвергающиеся обработке) и должны обособляться от иной информации путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм.
При фиксации персональньж данных на материальные носителях нe допускается фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
Работники, осуществляющие обработку персональных данных, информируются непосредственным руководителем о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
Типовые формы документов должны быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими переональньши данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
Хранение документов, содержащих персональные данные, осуществляется в шкафах, запираемых на ключ.
Уничтожение документов, содержащих персональные данные, осуществляется способом, не позволяющим в дальнейшем ознакомиться с персональными данными.
13.3. При работе с документами, содержащими персональные данные, работник обязан исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками Оператора).
При работе с персональными данными субъектов персональных данных, а также с их носителями необходимо ограничить число работников, допущенных к работе с конкретными персональными данными списками.
Работникам, допущенным к обработке персональных данных, запрещается:
1. Сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям.
2. Делать неучтенные копии документов, содержащих персональные данные.
3. Оставлять документы, содержащие персональные данные, на рабочих столах без присмотра.
4. Покидать помещение, в котором хранятся персональные данные, не поместив документы с персональными данными в закрываемые шкафы.
5. Выносить документы, содержащие персональные данные, из помещений, в котором хранятся персональные данные, без служебной необходимости.
14. Ответственность за нарушение требований настоящей Политики
14.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.
14.2.Работники Оператора, допущенные к обработке персональных данных
субъектов, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
15. Заключительный положения
15.1. Настоящая Политика вступает в силу с даты ее утверждения приказом директора и действует бессрочно до замены новой версией.
15.2. При необходимости приведения настоящей Политики в соответствие со вновь принятыми законодательными актами, изменения вносятся на основании приказа руководителя.
15.3. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Оператора.