Политика в отношении обработки персональных данных

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ПРЕДСТАВИТЕЛЬСТВЕ УПРОЩЕННОГО АКЦИОНЕРНОГО ОБЩЕСТВА «LES LABORATOIRES SERVIER» (ФРАНЦУЗСКАЯ РЕСПУБЛИКА) В РЕСПУБЛИКЕ БЕЛАРУСЬ

Мы заботимся о защите персональных данных. В настоящей Политике обработки персональных данных (далее – «Политика») указано, какую информацию мы собираем, о ком, для каких целей и какими средствами, на каких основаниях, а также каковы права субъектов персональных данных, механизмы их реализации.

Оператором относительно обработки персональных данных в соответствии с настоящей Политикой является упрощенное акционерное общество «LES LABORATOIRES SERVIER» (Французская Республика), действующее в Республике Беларусь через своё представительство, открытое в соответствии с установленным законодательством порядком (юридический адрес в Республике Беларусь: г. Минск, ул. Мясникова А.Ф., д.70, офис 303; адрес электронной почты: officeBY@servier.com ).

Оператор оставляет за собой право вносить изменения в настоящую Политику в любой момент в одностороннем порядке.

1. Определения

Обработка – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.

Оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.

Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства.

Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.

Закон – Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».

2. Сфера действия

Настоящая Политика применяется к обработке персональных данных лишь в части деятельности на территории Республики Беларусь представительства Оператора, открытого в установленном законодательством порядке. Обработка персональных данных иностранной организацией за пределами Республики Беларусь не является предметом регулирования настоящей Политики.

Настоящая Политика применяется к обработке персональных данных любых физических лиц, за исключением работников Оператора, независимо от того, в какой форме и/или среде были сообщены персональные данные субъекта персональных данных (например, в бумажном виде или используя электронную почту).

Она распространяется на все процессы, связанные с обработкой персональных данных в представительстве Оператора в Республике Беларусь (подробнее о процессах, подразумевающих обработку персональных данных, см. раздел 3 настоящей Политики), и обязательна для применения всеми работниками Оператора, осуществляющими обработку персональных данных.

3. Направления, цели и правовое основание обработки данных

Оператор может обрабатывать персональные данные для различных целей и по разным правовым основаниям (указаны ниже), в том числе обработка может осуществляться для нескольких целей одновременно.

Оператор также может использовать собранные данные в статистических и исследовательских целях при условии их обезличивания.

Оператор осуществляет обработку персональных данных по следующим основным направлениям:

3.1. Заключение и исполнение договора

Оператор может обрабатывать персональные данные для заключения договора с субъектом персональных данных (в т.ч. проведения оценок, проверок контрагента перед заключением договора), его исполнения (совершения действий, установленных этим договором). В рамках данного правового основания Оператор может обрабатывать информацию, относящуюся лишь к физическому лицу, которое является (будет являться) стороной по заключенному (заключаемому) договору.

Категория субъектов персональных данных	Виды персональных данных	Правовое основание
Сторона по заключаемым (заключенным) договорам	Идентификационные данные (ФИО, данные документа, удостоверяющего личность),Контактная информация (номер телефона, адрес электронной почты, адрес проживания),Данные об образовании, стаже и месте работы (если необходимо для заключения, исполнения договора),Иные персональные данные, которые указаны в договоре либо получены в процессе его заключения (исполнения).	Получение персональных данные на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором (ст. 6 Закона)

3.2. Маркетинговая и рекламная деятельность

Оператор может обрабатывать персональные данные, чтобы информировать физических лиц о продуктах, новостях, рекламных мероприятиях, конференциях, семинарах, др.

Категория субъектов персональных данных	Виды персональных данных	Правовое основание
Любые физические лица, выразившие желание (давшие согласие) на получение соответствующей информации	Идентификационные данные (ФИО),Контактная информация (контактный номер, адрес электронной почты),Данные о месте работы.	Согласие на обработку персональных данных (ст. 5 Закона).

3.3. Организация участия в проводимых мероприятиях

Оператор может обрабатывать персональные данные для организации участия субъектов персональных данных в проводимых Оператором (или иным лицом) мероприятиях, в том числе, направленных на повышение профессионального уровня медицинских и\или фармацевтических работников, участия в научных конференциях, семинарах, советах экспертов, круглых столах, вебинарах.

Категория субъектов персональных данных	Виды персональных данных	Правовое основание
Участники проводимых Оператором (или иным лицом) мероприятий	Идентификационные данные (ФИО, данные документа, удостоверяющего личность),Контактная информация (контактный номер, адрес электронной почты),Данные об образовании, стаже и месте работы,Иные персональные данные, необходимые для организации участия в проводимых мероприятиях.	Согласие на обработку персональных данных (ст. 5 Закона), если отсутствует иное правовое основание, предусмотренное законодательством.

3.4. Рассмотрение резюме соискателей на трудоустройство

В целях формирования штата квалифицированных специалистов, Оператор может обрабатывать персональные данные кандидатов на замещение вакантных должностей, направленные Оператору в любом виде (например, в виде анкеты, резюме, др.) любым способом (на электронную почту, бумажным отправлением, посредством специально созданного программного обеспечения/интернет — ресурса).

Категория субъектов персональных данных	Виды персональных данных	Правовое основание
Соискатели на трудоустройство	Идентификационные данные (ФИО, дата рождения),Данные об образовании, стаже и местах работы,Контактная информация (номер телефона, адрес электронной почты),Иные данные, указанные в резюме, анкетах, формах и прочих документах, направляемых субъектом персональных данных.	Согласие на обработку персональных данных (ст. 5 Закона), или Обработка персональных данных на основании их указания в документе, адресованном Оператору и подписанном Субъектом персональных данных (ст. 6 Закона).

3.5. Коммуникация с физическими лицами в процессе рассмотрения поступивших обращений, сообщений

Оператор может обрабатывать персональные данные в целях рассмотрения поступивших от субъектов персональных данных (в любом виде и любым способом) сообщений, обращений, подготовки и направления ответов на них (в том числе, сообщений, поступивших в рамках системы фармаконадзора).

Категория субъектов персональных данных	Виды персональных данных	Правовое основание
Обращающееся физическое лицо, иные физические лица, чьи персональные данные указаны в обращении	Персональные данные, указанные субъектом в обращении, сообщении (в частности, ФИО, адрес электронной почты).	Обработка является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (ст. 6 Закона).

3.6. Иные цели, предусмотренных законодательством или текстом согласия

Оператор может обрабатывать персональные данные субъектов персональных данных в целях, не указанных в п. 3.1-3.5 настоящей Политики в случае, если подобное предусмотрено законодательством Республики Беларусь или текстом согласия на обработку персональных данных. В подобном случае виды персональных данных, подлежащие обработке, и правовое основание определяются в каждом конкретном случае отдельно.

4. Действия, осуществляемые с персональными данными

Оператор вправе совершать любые действия (совокупность действий) по обработке персональных данных, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, предоставление, трансграничную передачу, удаление персональных данных, если иное не предусмотрено законодательством, текстом согласия на обработку персональных данных, иным документом, имеющим юридическую силу и регулирующим обработку персональных данных в конкретной ситуации. При этом, Оператор вправе осуществлять обработку персональных данных как с использованием средств автоматизации, так и без использования таких средств. Обработка персональных данных в любом случае должна ограничиваться достижением конкретных целей.

4.1. Передача персональных данных третьим лицам (предоставление доступа к ним)

Оператор при необходимости может передавать персональные данные (предоставлять к ним доступ) следующим категориям сторонних получателей:

субъектам, которые обеспечивают функционирование автоматизированных систем, используемых для обработки соответствующих персональных данных (таким как организации, владеющие и/или обслуживающие серверы, корпоративные информационные системы (ресурсы), средства доставки электронной почты и контента),
лицам, входящим в группу компаний «Сервье» (с перечнем подобных лиц можно ознакомиться по ссылке: https://servier.com/en/servier-group/servier-throughout-the-world/),
государственным органам, когда такая передача требуется согласно применимому законодательству,
субъектам, оказывающим следующие услуги: услуги по ведению бухгалтерского учета и проведению аудита, юридические услуги; маркетинговые, рекламные услуги, услуги по организации и проведению мероприятий (по организации проживания, питания, проезда в рамках проводимых мероприятий).

Когда Оператор передает персональные данные (предоставляет к ним доступ) сторонним получателям, он гарантирует соблюдение требований применимого законодательства о персональных данных, в частности:

Оператор передает только минимальный объем данных, необходимый конкретному получателю для конкретной цели,
Оператор работает только с теми получателями данных, которые могут обеспечить надлежащий уровень защиты персональных данных,
если получатель данных действует как Уполномоченное лицо, Оператор предпримет все разумные меры для того, чтобы персональные данные обрабатывались Уполномоченным лицом только в соответствии с инструкциями Оператора и в соответствии с договором с ним.

4.2. Трансграничная передача персональных данных

В связи с тем, что представительство (УАО) «LES LABORATOIRES SERVIER» в Республике Беларусь является обособленным структурным подразделением Оператора, расположенного на территории Французской Республики, передача персональных данных Представительством головному офису (иному структурному подразделению Оператора) является движением данных внутри компании, не признается передачей стороннему получателю, однако признается трансграничной передачей. При этом:

сохраняется и соблюдается цель обработки персональных данных,
на территории Французской Республики в целом, и у Оператора в частности обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

Оператор может передавать отдельные персональные данные субъектов сторонним получателем, указанным в п. 4.1 настоящей Политики, расположенным на территории иностранных государств. При подобной передаче, он гарантирует, что:

будут соблюдены принципы передачи, указанные в п. 4.1 настоящей Политики,
будут соблюдены положения применимого законодательства (в частности, Общего регламента защиты персональных данных (GDPR) Европейского союза).

5. Сроки хранения персональных данных

Оператор будет хранить персональные данные до тех пор, пока существует правовое основание и цель для обработки данных. При этом, в отношении обработки некоторых персональных данных законодательство (в частности, законодательство об архивном деле и делопроизводстве) устанавливает сроки хранения, которые Оператор обязан соблюдать.

Когда вышеуказанные сроки хранения данных закончатся, Оператор удалит или обезличит персональные данные.

6. Права субъектов персональных данных

Любой субъект, чьи персональные данные обрабатываются Оператором в соответствии с настоящей Политикой, имеет следующие права:

получать информацию, касающуюся обработки своих персональных данных,
требовать от Оператора внесения изменений в свои персональные данные, которые являются устаревшими, неполными или неточными,
получать информацию о предоставлении своих персональных данных третьим лицам (один раз в календарный год, если иное не предусмотрено законодательством),
просить прекратить обработку своих персональных данных, включая их удаление (при отсутствии оснований для обработки). При этом, Оператор не может удалить данные, которые он обязан обрабатывать и хранить в соответствии с законодательством,
отозвать согласие на обработку персональных данных в любое время, если такая обработка осуществляется на основании такого согласия. При этом, отзыв согласия не повлияет на законность обработки, основанной на согласии, до его отзыва, а также на обработку персональных данных, которые Оператор обрабатывает, имея иные законные обоснования.

Для того, чтобы воспользоваться вышеназванными правами, субъект персональных данных может подать Оператору заявление в письменной форме либо в виде электронного документа, которое должно содержать: ФИО, адрес места жительства (места пребывания), дату рождения, суть требований, личную подпись или электронную цифровую подпись субъекта. Контактные данные для направления заявления:

адрес электронной почты: office@srvbel.by ,
почтовый адрес: г. Минск, ул. Мясникова А.Ф., д.70, офис 303.

Оператор гарантирует обработку (рассмотрение) заявления и предоставление ответа в течение 15 календарных дней после получения заявления (за исключением случая рассмотрения заявления о получении информации, касающейся обработки персональных данных, срок ответа на который составляет 5 рабочих дней после его получения). Ответ направляется в форме, соответствующей форме подачи заявления, если в самом запросе на осуществление прав не указано иное.

Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (в Республике Беларусь — Национальный центр защиты персональных данных Республики Беларусь; https://cpd.by/) в порядке, установленном законодательством об обращениях граждан и юридических лиц. Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом в суд.

В случае дачи согласия на обработку персональных данных, такие данные будут обрабатываться Оператором в порядке и на условиях, определенных текстом соответствующего согласия и настоящей Политикой. В случае отказа в даче такого согласия персональные данные обрабатываться Оператором не будут, за исключением обработки персональных данных, которые Оператор обрабатывает, имея иные законные обоснования.

7. Обеспечение безопасности персональных данных при их обработке. Порядок доступа к персональным данным

При обработке персональных данных Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В частности, он предпринимает следующие меры:

— утверждает настоящую Политику, иные документы, позволяющие регламентировать процесс обработки персональных данных, организует ознакомление работников представительства Оператора в Республике Беларусь с ними, требованиями законодательства о защите персональных данных и мерами ответственности за нарушение требований по защите персональных данных,

— назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в представительстве Оператора в Республике Беларусь,

— обеспечивает доступ к персональным данным только лицам, ознакомленным с настоящей Политикой и требованиями законодательства о защите персональных данных,

— организует доступ к корпоративным внутренним системам, содержащим обрабатываемые персональные данные, на основании индивидуальных паролей,

— работникам, допущенным к обработке персональных данных, запрещается сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям.

Название	Срок действия	Описание
CookieLawInfoConsent	1 год	Этот файл cookie устанавливается решением по обеспечению соответствия файлов cookie от OneTrust. Он хранит информацию о категориях файлов cookie, используемых сайтом, и о том, дали ли посетители согласие на использование каждой категории или отозвали его. Это позволяет владельцам сайтов запретить установку файлов cookie в каждой категории в браузере пользователя, если согласие не дано. Обычный срок действия файла cookie составляет один год, поэтому у посетителей, возвращающихся на сайт, будут запомнены их предпочтения. Он не содержит информации, которая может идентифицировать посетителя сайта.

Название	Срок действия	Описание
`_ym_metrika_enabled`	60 минут	Проверяет, правильно ли установлены другие cookies Метрики
`_ym_isad`	2 дня	Используется для определения наличия у посетителя блокировщиков рекламы
`_ym_uid`	1 год	Позволяет различать посетителей
`_ym_d`		Хранит дату первого визита посетителя на сайт
`_ym_ucs`		Источник для `_ym_uid`. Появляется, если настроено серверное перевыставление cookie.
`gdpr`	До 2 лет	Позволяет различать посетителей из зоны действия Генерального регламента о защите данных (General Data Protection Regulation, GDPR).
`_ym_debug`	В течение визита	Индикатор включенного отладочного режима
`_ym_visorc_*`	30 минут	Используется для корректной работы Вебвизора
`_ym_hostIndex`	1 сутки	Позволяет ограничить количество запросов
`_ym_sup_debug`	1 сутки	Используется для работы отладчика счетчика Метрики
`is_gdpr`	До 2 лет	Позволяет различать посетителей из зоны действия Генерального регламента о защите данных (General Data Protection Regulation, GDPR).
`is_gdpr_b`	До 2 лет	Позволяет различать посетителей из зоны действия Генерального регламента о защите данных (General Data Protection Regulation, GDPR).
`yabs-sid`	В течение сессии браузера	Идентификатор визита
`i`	1 год	Позволяет различать посетителей
`yandexuid`	1 год (в некоторых странах срок может быть больше)
`yuidss`	1 год (в некоторых странах срок может быть больше)
`ymex`	1 год	Хранит вспомогательную информацию для работы Метрики: время создания идентификаторов и их альтернативные значения.
`usst`	1 год	Хранит вспомогательную информацию для синхронизации идентификаторов посетителей между разными доменами Яндекса
_gid	Несколько секунд	Это имя cookie связано с Google Universal Analytics. Похоже, это новый cookie, и по состоянию на весну 2017 г. Google не располагает никакой информацией. Похоже, что он сохраняет и обновляет уникальное значение для каждой посещенной страницы._gid
_ga	399 дней	Это имя cookie связано с Google Universal Analytics, что является значительным обновлением более часто используемого аналитического сервиса Google. Этот cookie используется для различения уникальных пользователей путем назначения случайно сгенерированного числа в качестве идентификатора клиента. Он включается в каждый запрос страницы на сайте и используется для расчета данных о посетителях, сеансах и кампаниях для аналитических отчетов сайтов. По умолчанию он истекает через 2 года, хотя владельцы веб-сайтов могут настроить это.
_ga_xxxxxxxxxx	399 дней	Для формирования статистических данных о том, как посетитель использует Сервис