Политика в отношении обработки персональных данных ТОО «Бауш Хелс»

Скан «Политика в отношении обработки персональных данных ТОО «Бауш Хелс»»

  1. Общие положения
    1.   Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с  пунктом 1-1 части 2 ст. 25 Закона Республики Казахстан "О персональных данных и их защите" № 94-V ЗРК от 21 мая 2013 года (далее – «Закон») и действует в отношении всех персональных данных, обрабатываемых в ТОО «Бауш Хелс» (далее – «Оператор»).
    2.   Целью разработки настоящей Политики является определение категорий персональных данных, обрабатываемых Оператором, а также основных принципов, которыми Оператор руководствуется при обработке персональных данных.
    3.   Положения настоящей Политики являются обязательными для исполнения всеми работниками Оператора, организациями, получающими либо предоставляющие персональные данные Оператору, а также физическими лицами, находящимися в договорных отношениях с Оператором.
    4.   В настоящей Политике используются следующие понятия:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) –  ТОО «Бауш Хелс», осуществляющие сбор, обработку и защиту персональных данных;

сбор персональных данных - действия, направленные на получение персональных данных;

обработка персональных данных –действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

накопление персональных данных - действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных –  действия, в результате совершения которых происходит передача персональных данных или предоставление доступа к персональным данным каким-либо иным способом;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить персональные данные;

обезличивание персональных данных – действия, в результате которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства

конфиденциальность персональных данных обязанность Оператора и иных лиц, получивших доступ к персональным данным, не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания;

общедоступные персональные данные - персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

персональные данные ограниченного доступа - персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

 

  1.   Субъекты персональных данных или их законные представители имеют право:

 

знать о наличии у Оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:

  • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
  • перечень персональных данных;
  • сроки обработки персональных данных, в том числе сроки их хранения;

требовать от Оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

требовать от Оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

требовать от Оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;

отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных Законом;

дать согласие (отказать) Оператору на распространение своих персональных данных в общедоступных источниках персональных данных;

на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

требовать от Оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

требовать от Оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;

отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных Законом;

дать согласие (отказать) Оператору на распространение своих персональных данных в общедоступных источниках персональных данных;

на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

  1.   Субъекты персональных данных или их законные представители, обязаны:

в случаях, установленных законами Республики Казахстан, предоставлять Оператору персональные данные, соответствующие действительности;

своевременно уведомлять Оператора обо всех изменениях персональных данных.

  1.   Оператор имеет право осуществлять сбор, обработку персональных данных при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки и требованиям законодательства Республики Казахстан, положениям настоящей Политики и иных локальных актов Оператора.
  2.   Оператор обязан:

утверждать перечень персональных данных, необходимых и достаточных для выполнения осуществляемых им задач;

за свой счет обеспечить защиту персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством Республики Казахстан;

уничтожить персональные данные в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;

представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;

предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных в сроки, предусмотренные законодательством Республики Казахстан либо на законных основаниях предоставить мотивированный отказ;

обеспечить субъекту на основании его письменного запроса свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Республики Казахстан;

В течение одного рабочего дня:

  • изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
  • блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
  • уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
  • снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;
  • предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения Оператором требований Закона;
  • назначить лицо, ответственное за организацию обработки персональных данных.
  1.             Лицо, ответственное за организацию обработки персональных данных, обязано:
  • осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;
  • доводить до сведения работников Оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;
  • вести Журнал учета обращений субъектов персональных данных или их законных представителей, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
  1. Цели сбора и обработки персональных данных
    1.   Для каждой категории персональных данных Оператором определены и утверждены конкретные цели сбора и обработки. Обработка персональных данных, несовместимая с утвержденными целями, не допускается.
    2.   Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.
    3.   Цели сбора и обработки Оператором персональных данных, перечень персональных данных, правовые основания и сроки их обработки, а также  кКатегории субъектов, чьи персональные данные собираются и обрабатываются Оператором, приведены в Приложении №2 к настоящей Политике.

 

  1. Порядок и условия сбора и обработки персональных данных
    1.   Все персональные данные Оператор получает непосредственно от субъекта персональных данных,  его законного представителя либо от лица, поручившего Оператору обработку персональных данных, за исключением случаев, предусмотренных законодательством Республики Казахстан.
    2.   Сбор, обработка персональных данных осуществляется Оператором с согласия субъекта персональных данных или его законного представителя, за исключением случаев, предусмотренных законодательством Республики Казахстан. Согласие дается письменно в форме отдельного документа, либо в составе какого-либо документа, подписываемого субъектом и может быть выражено в различных формах, позволяющих подтвердить факт его получения.
    3.   Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.
    4.   При принятии решений, затрагивающих интересы субъекта, Оператор никогда не основывается на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  1.   Работники Оператора, а также третьи лица, получающие доступ к персональным данным в связи с исполнением ими должностных или договорных обязанностей, обязаны обеспечивать их конфиденциальность и не допускать их распространения.
  2.   Передача персональных данных работника Оператора третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством Республики Казахстан, а также при условии подписания между Оператором и третьим лицом соглашения о неразглашении конфиденциальной информации, за исключением случаев, предусмотренных законодательством Республики Казахстан.
  3.   Передача персональных данных субъекта в коммерческих целях без его письменного согласия не осуществляется.
  4.   При наличии условия об уведомлении субъекта о передаче его персональных данных третьему лицу Оператор в течение десяти рабочих дней уведомляет об этом субъекта или его законного представителя.
  5.   Оператор вправе передавать персональные данные без уведомления субъекта персональных данных государственным органам, при выполнении ими своих функций, частным нотариусам, частным судебным исполнителям и адвокатам.
  6.         Передача персональных данных на территорию иностранных государств (трансграничная передача персональных данных) осуществляется только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством Республики Казахстан.
  7.         Хранение персональных данных осуществляется Оператором в базе, находящейся на территории Республики Казахстан. При трансграничной передаче персональных данных, копия передаваемых персональных данных остается в базе, находящейся на территории Республики Казахстан.
  8.         Оператор вправе создавать общедоступные источники персональных данных, в которые могут включаться персональные данные субъекта персональных данных с его письменного согласия.
  9.         Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в течение одного рабочего дня по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов. При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на Оператора.
  10.         При сборе, обработке персональных данных для проведения статистических, социологических, научных, маркетинговых исследований Оператор обязан их обезличить. Обезличивание осуществляется Оператором до их распространения, любым не противоречащим законодательству Республики Казахстан способом обезличивания, позволяющим решать поставленные задачи обработки персональных данных.
  11.         Обработка персональных данных осуществляется как использованием средств вычислительной техники, так и без использования таковых средств.

 

  1.         Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.

  1.         Оператор обязан информировать субъектов персональных данных об автоматизированной обработке персональных данных.

 

  1.         При использовании типовых форм документов, заполняемых субъектом персональных данных собственноручно, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), соблюдаются следующие условия:

типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации - при необходимости получения письменного согласия на обработку персональных данных;

типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

  1.         Персональные данные подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, по истечении срока хранения, при выявлении факта неправомерной обработки либо по требованию лица, поручившего обработку персональных данных в срок, не превышающий десяти рабочих дней с даты достижения цели обработки персональных данных, либо получения отзыва на их обработку. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Уничтожение осуществляется в присутствии комиссии. По итогам составляется акт об уничтожении.
  1. Доступ к персональным данным
    1.   Субъект персональных данных имеет право знать о наличии у Оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:

-          подтверждение факта, цели, источников, способов сбора и обработки персональных данных;

-          перечень персональных данных;

-          сроки обработки персональных данных, в том числе сроки их хранения.

  1.   Запрос субъекта персональных данных должен быть отправлен Оператору письменно или в форме электронного документа на электронную почту Kazakhstan.DataPrivacy@bausch.com либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан. Запрос должен содержать номер документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе. Типовая форма запроса представлена в Приложении 1 к настоящей Политике.
  2.   При поступлении запроса обращения субъектов, ответственный работник Оператора обязан зарегистрировать такой запрос в журнале регистрации обращений субъектов.
  3.   Ответ, либо мотивированный отказ, должны быть отправлены в течение трех рабочих дней с даты получения запроса от субъекта персональных данных.
  4.   В случае наличия информации о нарушении условий сбора, обработки персональных данных, субъект требует от Оператора, а также третьего лица блокирования своих персональных данных.
  1. Защита персональных данных
    1.   Оператор обеспечивает защиту персональных данных субъекта от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
    2.   Защита персональных данных обеспечивается Оператором в установленном действующим законодательством Республики Казахстан  и локальными актами Оператора порядке, путем выполнения комплекса организационно–технических мероприятий, обеспечивающих их безопасность, включая разделение персональных данных на общедоступные и ограниченного доступа, определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ, назначение лица, ответственного за организацию обработки персональных,  установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа, обеспечение ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа, обеспечение передачи персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан, применение средств криптографической защиты информации (имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования») для надежного хранения персональных данных ограниченного доступа, применение средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.
    3.   В течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных Оператор уведомляет уполномоченный орган (Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан или иной орган, который будет осуществлять руководство в сфере защиты персональных данных на момент обнаружения нарушения безопасности персональных данных) о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных.
    4.   Меры защиты при сборе, обработке, хранении и передаче персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
  2. Изменение, дополнение и уничтожение персональных данных
    1.   Оператор имеет право изменить, дополнить, , блокировать или уничтожить персональные данные в соответствии с законодательством Республики Казахстан.
    2.   Изменение и дополнение персональных данных осуществляются Оператором на основании обращения (запроса) субъекта персональных данных или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.
    3.   Персональные данные подлежат уничтожению Оператором:

-          по истечении срока хранения;

-          при прекращении правоотношений между субъектом и Оператором;

-          при вступлении в законную силу решения суда;

-          по требованию субъекта, если сбор и обработка персональных данных произведены Оператором с нарушением законодательства Республики Казахстан.

 

  1. Изменение Политики
    1.   Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
    2.   Действующая редакция хранится в месте нахождения исполнительного органа Оператора по адресу: Республика Казахстан, A26T9G0, г. Алматы, Медеуский район, ул. Хаджи Мукана 22/5
    3.   К настоящей Политике и отношениям между субъектами персональных данных и Оператором подлежит применению право Республики Казахстан.
  2. Обратная связь
    1.   Адрес электронной почты: Kazakhstan.DataPrivacy@bausch.com
    2.   Почтовый адрес: Республика Казахстан, A26T9G0, г. Алматы, Медеуский район, ул. Хаджи Мукана 22/5, БЦ «Хан-Тенгри», 6 этаж
    3.   Контактный номер телефона: +7 (727) 311-1516

Приложение № 1 Форма письменного запроса на получение информации, касающейся обработки персональных данных


Приложение № 2 Утвержденный Оператором состав целей, категорий субъектов, их объем и правовые основания обработки персональных данных