1.1. Настоящее Положение об обработке персональных данных (далее – «Положение») определяет политику Компании в отношении обработки персональных данных, порядок обработки Компанией персональных данных субъектов (пользователей Cайта), включая порядок их сбора, хранения, использования, передачи и защиты.

1.2. Упорядочение обращения с персональными данными имеет целью обеспечить права и свободы субъектов при обработке персональных данных, сохранение конфиденциальности персональных данных и их защиту.

1.3. Положение разработано на основе и во исполнение:

a) Конституции Республики Казахстан; 

b) Закона Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 г. № 94-V;

c) иных нормативных правовых актов РК, а также международных актов, ратифицированных Казахстаном.

2.1. В настоящем Положении используются следующие основные понятия и термины:

a) Компания или Собственник – ТОО «Ново Нордиск Казахстан», БИН 170740001680, расположенное по адресу Республика Казахстан, 050022, г. Алматы, проспект Абая 42, Бизнес Центр «BAYKONYR»;

b) Группа компаний – группа юридических лиц, объединенных под брендом глобальной фармацевтической компании «Ново Нордиск» (Дания); 

c) персональные данные – информация, относящаяся к прямо или косвенно определенному или определяемому субъекту;

d) субъект персональных данных или субъект – физическое лицо, который является пользователем Сайта;

e) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

f) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

g) обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) – действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека;

h) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

i) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

j) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

k) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

l) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

m) оператор – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

n) РК – Республика Казахстан.

3.1. Компания обрабатывает персональные данные следующих категорий субъектов:

a) пользователи Сайта;

b) иные субъекты, взаимодействие которых с Компаниией, создает необходимость обработки персональных данных.;

4.1. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Компании реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.

4.2. Персональные данные пользователей Сайта могут включать:

a) фамилия, имя, отчество;

b) гражданство; 

c) данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;

d) контактные данные (включая номера рабочего и/или мобильного телефона, электронной почты и др.);

e) сведения о месте фактического проживания;

f) должность;

g) наименование работодателя;

h) сведения об адресе местонахождения работодателя;

i) сведения о выплатах;

j) идентификационный номер налогоплательщика;

k) сведения медицинского характера (в случаях, предусмотренных законодательством);

l) иные данные, необходимые для исполнения взаимных прав и обязанностей между Компанией и пользователем Сайта.

4.3. Персональные данные иных субъектов включают:

a) фамилия, имя, отчество;

b) контактные данные;

c) иные данные, необходимые для исполнения взаимных прав и обязанностей между Компанией и субъектом.

5.1. Обработка персональных данных субъектов основывается на следующих принципах:

a) обработка персональных данных должна осуществляться на законной и справедливой основе;

b) не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

c) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

d) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Собственник должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

e) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не предусмотрено законом или настоящим Положением и иными политиками Собственника. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

6.1. Обработка персональных данных субъектов персональных данных осуществляется c целью предоставления доступа к Сайту Компании, а именно для:

a) предоставления информации о продукции Компании;

b) проведения мероприятий и обеспечения участия в них субъектов персональных данных;

c) предоставление медико-научной, справочно-информационной и иной информации от Компании;

d) обработки обращений с претензиями и информацией по безопасности продуктов;

e) обработки обращений о негативных явлениях и побочных эффектах;

f) обработка иных обращений субъектов;

g) осуществления мониторинга эффективности и безопасности лекарственных средств;

h) осуществления и выполнения функций, полномочий и обязанностей, возложенных на Компанию законодательством РК и международными договорами РК; 

i) маркетинговых целей, для улучшения Сайта и услуг Сайта;

j) мониторинга эффективности и безопасности лекарственных средств в целях выявления возможных негативных последствий их применения, индивидуальной непереносимости; 

k) иных целей, направленных на обеспечение соблюдения интересов Компании и требований законов и иных нормативных правовых актов.

6.2. Персональные данные обрабатываются исключительно для достижения указанных целей. Для использования данных в других целях необходимо поставить в известность об этом субъекта персональных данных и, в случае необходимости, получить новое согласие на обработку.

6.3. Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.

7.1. Общие правила

 

7.1.1. Обработка персональных данных осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе, с использованием внутренней сети и сети Интернет.

7.1.2. В случаях, установленных законодательством РК, основным условием обработки персональных данных является получение согласияе соответствующего субъекта персональных данных в форме, предусмотренной законодательством РК. 

7.1.3. Согласие субъекта персональных данных на обработку его персональных данных должно как минимум включать в себя:

a) фамилию, имя, отчество;

b) фамилию, имя, отчество законного представителя субъекта персональных данных (представительство субъекта по доверенности исключено);

c) наименование и адрес Компании, получающей согласие субъекта персональных данных;

d) цель обработки персональных данных;

e) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

f) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

g) срок, в течение которого действует согласие, а также порядок его отзыва;

h) информацию каким образом субъект может запросить информацию об обработке его персональных данных, внести изменения, дополнения в свои персональные данные, отозвать согласие на обработку персональных данных;

i) личная подпись субъекта персональных данных или ее аналог (только в том случае, если согласие предоставляется в письменном виде или в форме электронного документа).

7.1.4. Субъект персональных данных предоставляет согласие на обработку персональных данных средствами электронной связи, Интернет, по электронной почте.

 

7.2. Сбор

 

7.2.1. Источником всех персональных данных является непосредственно субъект персональных данных.

7.2.2. Если иное не установлено законом, Компания вправе получать персональные данные субъекта персональных данных от третьих лиц только при получении предварительного согласия субъекта, либо если субъект уже дал согласие третьему лицу на передачу его персональных данных. 

7.2.3. Согласие субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:

a) наименование лица и его местонахождение, которое передает персональные данные субъекта;

b) наименование лица и его местонахождение, которое получает персональные данные субъекта;

c) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

d) цель обработки персональных данных Компанией и ее правовое основание;

e) предполагаемые пользователи персональных данных;

f) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

g) установленные законом права субъекта персональных данных;

h) информацию каким образом субъект может запросить информацию об обработке его персональных данных, внести изменения, дополнения в свои персональные данные, отозвать согласие на обработку персональных данных;

i) срок, в течение которого действует согласие, а также порядок его отзыва.

 

7.3. Хранение

 

7.3.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных, которые предусмотрены законодательством РК.

7.3.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Компанией в рамках организации в целом.

7.3.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических, программных, организационных и правовых средств защиты. Хранение персональных данных в электронном виде вне применяемых Компанией информационных систем и специально обозначенных Компанией баз данных (внесистемное хранение персональных данных) не допускается.

7.3.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством РК или договором с субъектом персональных данных.

7.3.5. Если иное не предусмотрено законодательством РК, обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

7.3.6. Уничтожение персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).

7.3.7. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

 

7.4. Использование

 

7.4.1. Персональные данные обрабатываются и используются для цели, указанной в п. 6.1 Положения.

7.4.2. Доступ к персональным данным предоставляется только тем лицам, обязанности которых предполагают работу с соответствующими персональными данными, и только на период, необходимый для работы с данными.

 

7.5. Передача

 

7.5.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях достижения целей, предусмотренных настоящим Положением. Передача персональных данных третьим лицам, в том числе, в коммерческих целях, допускается только при наличии согласия субъекта, либо иного законного основания.

7.5.2. Для того, чтобы достигнуть целей, указанных выше в настоящей Положении, Компания должна дать доступ к персональным данным субъекта и (или) передать их Группе компаний, иным лицам, которые помогают Компании оказывать услуги субъектам персональных данных, например:

1) провайдеры технологических, аналитических услуг;

2) провайдеры финансовых услуг; 

3) лица, оказывающие услуги в сфере маркетинга, рекламы, включая социальные медиа, рекламные агентства;

4) провайдеры услуг поддержки клиентов;

5) государственные органы и государственные предприятия в области здравоохранения. 

7.5.3. Группа Компаний, а также лица, которым данные передаются, находятся на территории Казахстана, а также за территорией Казахстана. Субъект персональных данных должен дать разрешение на передачу его персональных данных Группе компаний, а также третьим лицам на территории Казахстана, а также на трансграничную передачу данных. 

7.5.4. Если персональные данные передаются на территорию иностранных государств, которые не обеспечивают защиту персональных данных, Компания предпринимает необходимые меры, чтобы обеспечить защиту персональных данных субъектов персональных данных. Такая передача осуществляется в соответствии с требованиями и правилами, предусмотренными законодательством РK для трансграничной передачи персональных данных. Компания не будет передавать данные на территорию иностранных государств, которые не обеспечивают защиту персональных данных, без разрешения субъектов персональных данных. 

7.5.5. Передача информации, содержащей персональные данные, осуществляется способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения информации неограниченному кругу лиц, а также иных неправомерных действий в отношении такой информации.

7.5.6. Лица, получающие персональные данные, предупреждаются о том, что эти данные могут быть использованы лишь в целях, для которых они собраны, и с соблюдением режима конфиденциальности. Компания вправе требовать от этих лиц подтверждение того, что это правило соблюдено.

7.5.7. В случаях, когда государственные органы имеют право запросить персональные данные, или персональные данные должны быть предоставлена в силу закона, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном законодательством РК.

7.5.8. Субъект персональных данных имеет право делать запрос Компании об изменении, дополнении, уничтожении персональных данных, предоставлении информации о персональных данных. Все поступающие запросы от субъектов передаются лицу, ответственному за организацию обработки персональных данных в Компании, для рассмотрения и подготовки ответа. В Компании назначено лицо, ответственное за организацию обработки персональных данных.

7.5.9. Субъект может направить Компании запрос, указанный в п. 7.5.8., следующим образом: eaeu-safety@novonordisk.com. Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.

7.5.10. Субъект персональных данных также имеет право требовать, чтобы Компания предоставила ему пул персональных данных в структурированной и машиночитаемой форме, чтобы субъект мог передать их для обработки другим собственникам или операторам баз данных. 

7.5.11. Компания гарантирует субъекту персональных данных осуществление его прав на бесплатной основе.

 

7.6. Поручение обработки

 

7.6.1. Компания вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязуется соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РК.

7.6.2. В договоре с лицом, осуществляющим обработку персональных данных по поручению Компании, должны быть определены:

a) перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;

b) цели обработки;

c) обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с требованиями законодательства и ответственность за несоблюдение таких требований.

 

7.7. Защита

 

7.7.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

a) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

b) соблюдение конфиденциальности информации ограниченного доступа;

c) реализацию права на доступ к информации.

7.7.2. Для защиты персональных данных Компания принимает необходимые предусмотренные законом меры, включая, но не ограничиваясь:

a) ограничивает и регламентирует круг лиц, обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе, путем использования паролей доступа к электронным информационным ресурсам);

b) обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;

c) организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;

d) контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе, установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);

e) проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

f) внедряет программные и технические средства защиты информации в электронном виде;

g) обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним и др.

7.7.3. Для защиты персональных данных при их обработке в информационных системах Компания проводит необходимые предусмотренные законом мероприятия, включая, но не ограничиваясь:

a) определение угроз безопасности персональных данных при их обработке;

b) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством РК уровни защищенности персональных данных;

c) учет машинных носителей персональных данных;

d) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

e) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

f) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

7.7.4. В Компании принимаются иные меры, направленные на обеспечение выполнения Компанией обязанностей в сфере персональных данных, предусмотренных законодательством РК.

8.1. Субъекты персональных данных вправе:

a) иметь доступ к своим персональным данным;

b) отозвать согласие на обработку их персональных данных;

c) изменять, уточнять, уничтожать и блокировать свои персональные данные;

d) получать информацию, касающуюся обработки своих персональных данных;

e) обжаловать неправомерные действия или бездействия при обработке персональных данных и требовать соответствующей компенсации в суде в порядке, предусмотренном законом;

f) определять представителей для защиты своих личных неимущественных прав и представительства своих интересов в порядке, предусмотренном законом;

g) защищать свои права и законные интересы в области персональных данных;

h) осуществлять иные права, предусмотренные нормативными актами РК.

8.2. Субъект персональных данных обязан:

a) предоставлять Компании достоверные персональные данные;

b) своевременно сообщать Компании об изменениях и дополнениях своих персональных данных;

c) осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных;

d) исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных.

9.1. Компания вправе устанавливать правила обработки персональных данных в Компании, вносить изменения и дополнения в Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей собственника базы данных с персональными данными. 

9.2. Компания обязуется:

a) обеспечивать обработку персональных данных исключительно в целях, для которых они были собраны;

b) получать от субъекта персональных данных согласие на обработку его персональных данных;

c) защищать персональные данные от их неправомерного использования или утраты;

d) исполнять иные обязанности, предусмотренные законодательством РК и локальными нормативными актами Компании в области обработки и защиты персональных данных.

10.1. Компания будет обрабатывать данные субъектов персональных данных до даты достижения целей, описанных настоящим Положением. После достижения указанных целей персональные данные субъектов данных будут Компанией уничтожены. 

10.2. Субъект персональных данных может в любой момент отозвать согласие на обработку персональных данных и просить уничтожить свои персональные данные. 

Your Career Guide