1.Общие положения
ООО «Байер ВР» уделяет особое внимание защите персональных данных при их обработке. В нашей организации мы с уважением относимся к соблюдению прав субъектов персональных данных.
1.1. Настоящее Положение, разработано в соответствии с Законом Республики Беларусь от 07.05.2021 N 99-З “О защите персональных данных” (далее - Закон) и иными нормативными правовыми актами Республики Беларусь. Оно является одной из мер, принимаемых ООО «Байер ВР» (далее – Оператор) для защиты персональных данных.
1.2. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся у субъектов персональных данных права и механизм их реализации.
1.3. Политика не применяется к обработке персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), а также пользователей интернет-сайта (в части cookie-файлов).
1.4. Определяет цели, принципы, условия и правила обработки персональных данных оператором, меры по обеспечению защиты, права и обязанности субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих обработку персональных данных.
1.5. Руководители структурных подразделений ООО “Байер ВР” несут персональную ответственность за обработку персональных данных, выполнение работниками, имеющими доступ к персональным данным требований законодательства Республики Беларусь и локальных правовых актов ООО «Байер ВР» в области обработки и защиты персональных данных.
1.6. Персональные данные могут быть также использованы ООО «Байер ВР» в научных или иных исследовательских целях после обязательного обезличивания таких персональных данных.
1.7. ООО «Байер ВР» осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.
1.8. Оператор осуществляет трансграничную передачу персональных данных (в том числе в страны, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, в связи с чем возникает риск необеспечения надлежащих способов защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, удаления, предоставления, распространения, совершения иных неправомерных действий в отношении предоставляемых персональных данных) только на основании Согласия субъектов персональных данных.
1.9. В настоящем Положении используются понятия и термины согласно Закону «О защите персональных данных» и иным законодательным и правоприменительным актам Республики Беларусь.
1.10. Адрес Оператора: 220089, г. Минск, пр. Дзержинского, 57, офис 54.
2. Состав и категории персональных данных, обрабатываемых в ООО «Байер ВР».
ООО “Байер ВР” является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных, полученных оператором.
Цели обработки персональных данных | Категории субъектов персональных данных, чьи данные подвергаются обработке | Перечень обрабатываемых персональных данных | Правовые основания обработки персональных данных | Срок хранения персональных данных |
Организация оказания информационно-консультационных и маркетинговых услуг. Заключение договоров с юридическими и физическими лицами, ИП. | Лица, уполномоченные на подписание договора
| Фамилия, собственное имя, отчество либо инициалы лица, личная подпись, иные персональные данные (при необходимости) | 1. В случае заключения договора с физическим лицом – обработка на основании договора с субъектом персональных данных (абзац пятнадцатый статьи 6 Закона) 2. В случае заключения договора с юридическим лицом – обработка персональных данных, которая является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 Закона, статья 49, пункт 5 статьи 186 Гражданского кодекса)
| 3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора |
Поддержание и улучшение работы системы менеджмента качества продукции Байер (в т.ч. прием жалобы на качество/ фальсификат/контрафакт, получение более подробной информации по жалобе, при необходимости получение образца для экспертизы, ответ заявителю о результатах расследования заводом-изготовителем) | Физические лица | Фамилия, собственное имя, отчество, контактный номер телефона, электронная почта, место проживания (город) | Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
Закон Республики Беларусь от 18 июля 2011 г. № 300-З «Об обращениях граждан и юридических лиц».
Закон Республики Беларусь от 20 июня 2006 г. № 161-З «Об обращении лекарственных средств».
Постановление Министерства здравоохранения Республики Беларусь от 19 июня 2017 г. N 64 «Об утверждении технического кодекса установившейся практики».
Решение Совета Евразийской экономической комиссии от 03.11.2016 № 80.
| 10 лет |
Сбор информации о нежелательных реакция на продукцию Байер | Физические лица | Фамилия, собственное имя, отчество, возраст, данные о состоянии здоровья, контактный номер телефона, электронная почта | Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
Постановление Министерства здравоохранения Республики Беларусь от 17.04.2015 № 48.
Решение Совета Евразийской экономической комиссии от 3 ноября 2016 года N 87.
Закон Республики Беларусь от 20 июня 2006 г. № 161-З «Об обращении лекарственных средств». | 10 лет |
Запрос на получение медицинской информации о продукции Байер | Физические лица | ФИО, контактный номер телефона, электронная почта | Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
| 3 года (возможно для судебных исков) 4 года (для аудита) |
Регистрация на сайте компании: cropscience.bayer.by Рассмотрение обращений | 1. Лица, направившие обращение 2. Иные лица, чьи персональные данные указаны в обращении | ФИО либо инициалы, адрес места жительства (места пребывания), суть обращения, иные персональные данные, указанные в обращении | Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 и абзац шестнадцатый пункта 2 статьи 8 Закона, пункт 1 статьи 3 Закона Республики Беларусь «Об обращениях граждан и юридических лиц») | 5 лет с даты последнего обращения; 5 лет после окончания ведения сбора замечаний и предложений посредством сайта |
Регистрация на сайте компании: ch.bayer.by Рассмотрение обращений | 1. Лица, направившие обращение 2. Иные лица, чьи персональные данные указаны в обращении | ФИО либо инициалы, адрес места жительства (места пребывания), суть обращения, иные персональные данные, указанные в обращении | Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 и абзац шестнадцатый пункта 2 статьи 8 Закона, пункт 1 статьи 3 Закона Республики Беларусь «Об обращениях граждан и юридических лиц») | 5 лет с даты последнего обращения; 5 лет после окончания ведения сбора замечаний и предложений посредством сайта |
Регистрация на сайте компании: ch.bayer.by Создание личного кабинета для специалистов системы здравоохранения, получение доступа к изучению медицинских статей, обзоров, презентаций и пр. | Физические лица, зарегистрировавшиеся на сайте | ФИО, дата рождения, место проживания (пребывания), место работы, специальность | Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
| 3 года с даты регистрации |
Передача сообщений рекламного, маркетингового и информационного характера посредством направления по электронной почте, отправки смс и голосовых сообщений в рамках реализации основных видов деятельности ООО «Байер ВР» | Физические лица – специалисты системы здравоохранения и сотрудники сельскохозяйственной отрасли | ФИО, дата рождения, адрес электронной почты | Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
| 3 года с даты подписания бумажной формы Согласия на обработку персональных данных |
Передача сообщений рекламного, маркетингового и информационного характера посредством направления через Viber, What’s Up, Telegram, Twilio, Instagram, Facebook в рамках реализации основных видов деятельности ООО «Байер ВР» | Физические лица – специалисты системы здравоохранения и сотрудники сельскохозяйственной отрасли | ФИО, дата рождения, адрес электронной почты | Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
| 3 года с даты подписания бумажной формы Согласия на обработку персональных данных c разъяснением рисков, связанных с трансграничной передачей персональных данных |
Формирование списков и баз данных. Ведение учета в CRM-системах. | Физические лица – специалисты системы здравоохранения и сотрудники сельскохозяйственной отрасли | Трансграничная передача персональных данных путем загрузки в системы управления взаимоотношениями с клиентами с возможным расположением серверов в странах с надлежащей и ненадлежащей правовой защитой. | Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
| 3 года с даты подписания бумажной формы Согласия на обработку персональных данных c разъяснением рисков, связанных с трансграничной передачей персональных данных |
Заключение и исполнение гражданско-правовых договоров, не связанных с осуществлением основных задач, возложенных на ООО «Байер ВР» (например, купля-продажа, подряд и т. п.) | Лица, уполномоченные на подписание договора | Фамилия, собственное имя, отчество либо инициалы лица, должность лица, подписавшего договор, иные данные в соответствии с условиями договора (при необходимости) | 1. В случае заключения договора с физическим лицом – обработка на основании договора с субъектом персональных данных (абзац пятнадцатый статьи 6 Закона) 2. В случае заключения договора с юридическим лицом – обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 Закона, статья 49, пункт 5 статьи 186 Гражданского кодекса) | 3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора |
3. Перечень уполномоченных лиц
ООО «Байер ВР» поручает обработку персональных данных следующим организациям:
- АО «Байер» (Российская Федерация) 107113, Москва, 3-я Рыбинская ул., дом 18, строение. Формирование внутренней отчетности (при необходимости).
- «Байер Акциенгезелльшафт»/ Bayer AG (51373 Германия, Леверкузен, Кайзер-Вильгельм-Аллее 1). Функционирование систем CRM с расположением серверов в странах с надлежащей правовой защитой (Германия, Франция, Ирландия и пр.). На основании Согласия субъектов персональных данных.
- ООО «СМС бай», 220013, г. Минск, ул. Кульман, 1/3-1, пом. 244. Рассылка информационных сообщений на основании Согласий субъектов персональных данных.
- ООО "Фабрика брендов" (УНП 192315515, Зарегистрировано Мингорисполкомом 01.08.2014), г. Минск, ул. Мележа 5/1, оф. 504. Поддержание сайтов компании, доступ сотрудников уполномоченного лица к обработке баз данных, содержащих персональные данные, полученные при регистрации.
- ООО «Хьюмен систем», г. Минск, пр. Дзержинского, 104А, оф. 2406. Поддержание функционирования системы 1С, содержащей персональные данные, полученные по правовым основаниям и в связи с законными целями обработки.
- ЗАО «Вайтбокс», 119330, Россия, г. Москва, ул. Мосфильмовская, д. 17Б. Поддержание функционирования системы Whitebox Communicate, доступ сотрудников уполномоченного лица к базам данных, полученных на законных основаниях, при регистрации субъектом.
- Перечень не является закрытым и подлежит обновлению и дополнению по мере необходимости. Полный список уполномоченных лиц можно получить, направив запрос в ООО «Байер ВР».
4. Права субъектов персональных данных и механизм их реализации
4.1. Для реализации своих прав, связанных с обработкой персональных данных в ООО «Байер ВР», субъект персональных данных подает заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия – также в форме, в которой такое согласие было получено) соответственно по почтовому адресу, указанному в части десятой пункта 1 настоящей Политики.
Такое заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
4.2. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в ООО «Байер ВР», направив сообщение на электронный адрес: ekaterina.radevich1@bayer.com.
5. Меры по обеспечению защиты персональных данных
5.1. ООО “Байер ВР” обеспечивает защиту персональных данных при их обработке в соответствии с законодательством и локальными правовыми актами ООО “Байер ВР” на основании принимаемых им правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
5.2. Защита персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.
5.3. ООО “Байер ВР” не использует персональные данные для контроля поведения их субъекта, в целях дискриминации, причинения морального или материального ущерба, затруднения в реализации прав и свобод.
5.4. При принятии решений, затрагивающих интересы субъекта, ООО “Байер ВР” не основывается на данных, полученных исключительно в результате их автоматизированной обработки.
5.5. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого незаконного использования. Перечень лиц, получающих доступ к персональным данным и осуществляющих их обработку, утверждается приказом генерального директора. Указанные работники получают доступ к персональным данным только после прохождения процедуры допуска.
5.6. Все документы, содержащие персональные данные, хранятся с соблюдением режима конфиденциальности. К ним имеют доступ только те лица, которые допущены к таким сведениям в силу исполнения ими своих должностных (функциональных) обязанностей. Конфиденциальное делопроизводство исключает ознакомление с конфиденциальной информацией иных лиц, не имеющих такого доступа.
5.7. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными Оперативно-аналитическим центром при Президенте Республики Беларусь и Национальным центром защиты персональных данных Республики Беларусь, а также в соответствии с локальными правовыми актами ООО “Байер ВР” в области обеспечения информационной безопасности.
5.8. При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе ООО “Байер ВР”.
6. Права и обязанности ООО «Байер ВР»
6.1. ООО “Байер ВР” обязано принимать все необходимые и достаточные меры для выполнения обязанностей Оператора, предусмотренных законодательством.
6.2. ООО “Байер ВР” имеет право:
- получать достоверные персональные данные от субъекта персональных данных;
- привлекать к дисциплинарной, материальной и иной ответственности лиц, нарушивших правила обработки и получения персональных данных.
7. Ответственность за нарушения норм, регулирующих обработку и защиту персональных данных
7.1. Лица, виновные в нарушении законодательства и локальных правовых актов ООО “Байер ВР” в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.
7.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством и локальными правовыми актами ООО “Байер ВР” в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством.
Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в ООО «Байер ВР», а также лицами, участвующими в организации процессов обработки и обеспечения защиты персональных данных.