Обязательные корпоративные правила

Адекватный и единообразный уровень защиты данных

Fresenius необходимо соблюдать множество законов о защите данных по всему миру. Обязательные Корпоративные Правила (ОКП) устанавливают единый и адекватный уровень защиты данных. Это позволяет осуществлять внутренний обмен персональными данными между подразделениями Fresenius.

Применимо по всему миру

ОКП применяются к следующим организациям Fresenius:

• Fresenius Kabi AG, включая все дочерние компании / аффилированные лица
• Компания Fresenius Digital Technology GmbH
• Fresenius SE & Co. KGaA

Применимо для определенных видов деятельности

ОКП применяются к следующим действиям по обработке персональных данных:

• Вся деятельность европейских организаций.
• Деятельность неевропейских организаций:
  • Когда они собирают персональные данные от имени европейского юридического лица Fresenius или
  • Когда они сотрудничают с европейской организацией Fresenius
  • Когда они получают персональные данные от европейских организаций
  • Когда они собирают персональные данные от людей, находящихся в Европе, для предложения товаров и услуг или связанных с мониторингом поведения

ОКП применимы как к бумажным, так и к ИТ-процессам. ОКП применяются ко всем процессам, которые позволяют осуществлять структурированный поиск персональных данных.

ОКП устанавливают минимальный уровень

Если какие-либо местные законы о защите данных требуют более строгих или дополнительных правил обработки персональных данных, их необходимо соблюдать дополнительно.

Если местный закон противоречит ОКП, необходимо проинформировать должностное лицо по защите персональных данных (Data Protection Officer). DPO оценит последствия и разрешит конфликт.

Если юридическое лицо получает распоряжение органа власти о раскрытии персональных данных, которое не соответствует требованиям ОКП, необходимо проинформировать DPO. DPO проинформирует надзорный орган в Германии.

ОКП обязательны для исполнения организацией и нашими сотрудниками

ОКП являются обязательными для:

• Все юридические лица: они подписывают контракт
• Все сотрудники: они обязаны следовать корпоративной политике в силу трудового договора.

Организации и отдельные лица могут получать права в соответствии с этими обязательствами. Применение ОКП и потенциальные санкции в связи с нарушениями такие же, как и при любом другом нарушении политики.

Группа Fresenius создала внутреннюю организацию по защите персональных данных и распределила следующие роли и обязанности:

• Должностное лицо по защите персональных данных (Data Protection Officer) осуществляет мониторинг, то есть проверяет и надзирает за соблюдением ОКП, местных законов, правил и процессов. DPO может проводить аудиты, обзоры и расследования. DPO также является контактным лицом для органов по защите данных в Европе. Контактные данные указаны ниже:
  Должностное лицо по защите персональных данных (Data Protection Officer):
  ул. Эльсе-Кронер, 1
  61352, Бад-Хомбург, Германия
  Германия
  Или по почте:
  Для Fresenius SE и Netcare dataprotectionofficer@fresenius.com
  Для компаний Fresenius Kabi dataprotectionofficer@fresenius-kabi.com
  
• Местный консультант по защите персональных данных (Local Data Protection Advisor) помогает и консультирует местных сотрудников, а также владельцев процессов всякий раз, когда у них возникают какие-либо вопросы или опасения, связанные с защитой персональных данных. При необходимости LDPA оказывает поддержку DPA и DPO, например, по запросу в рамках своей функции мониторинга и контактов с надзорными органами, например, из-за языковых сложностей.
• Консультант по защите данных (DPA) оказывает поддержку и консультирует LDPA, отвечает за систему управления защитой данных. При необходимости DPA оказывает поддержку DPO по запросу в выполнении его функции мониторинга и контактов с надзорными органами, например, из-за языковых сложностей.

При обработке персональных данных мы будем следовать нескольким принципам защиты основных прав и свобод физических лиц в соответствии с ОКП. Каждое юридическое лицо должно соблюдать следующие принципы при обработке персональных данных:

Принцип 1: Законность

Иметь документально подтвержденную правовую основу при сборе, использовании и обработке персональных данных. Эти правовые основания перечислены в ограничительном порядке. Например:

• Обработка необходима для выполнения контракта с физическим лицом, например, трудового договора или договора купли-продажи;
• Физическое лицо дало согласие;
• Законные интересы Фрезениус важнее негативных последствий для физических лиц;
• Необходимость выполнения других юридических обязательств, таких как налоговое законодательство, требования фармаконадзора или GxP.

Особые категории данных, такие как данные о состоянии здоровья, нуждаются в дополнительных правовых основаниях. Если местные законы требуют дополнительных или отличающихся положений, они также должны соблюдаться (это может, например, относиться к персональным данным сотрудников).

Принцип 2: Прозрачность и справедливость

Обрабатывайте персональные данные справедливо и прозрачно. Информировать физических лиц до или в момент сбора и использования персональных данных о:

• том, кто несет ответственность и как с нами можно связаться;
• том, какие данные собираются;
• том, как собираются данные;
• том, зачем нам нужны эти данные (цель);
• том, с какими организациями осуществляется обмен данными;
• том, будут ли они переданы другим странам;
• том, как долго будут храниться данные;
• правовой основе для сбора и использования данных и объяснение этого (принцип 1);
• том, создается ли профиль физического лица;
• том, принимаются ли решения автоматизированными средствами;
• том, должны ли быть предоставлены данные и что произойдет, если это не будет сделано;
• контактных данных DPO и уполномоченного органа;
• правах, которыми обладают граждане.

Вся эта информация должна быть предоставлена во всеобъемлющей и легкодоступной форме, используя ясный и понятный язык.

Принцип 3: Ограничение цели

Используйте персональные данные только для указанных, явных и законных целей, для которых они собираются. Дальнейшее использование запрещено, если только это дальнейшее использование не соответствует первоначальной цели и/или не приняты дополнительные меры.
Целями дальнейшей обработки, которые, как правило, считаются соответствующими первоначальной цели, являются:

• Архивирование
• Внутренний аудит
• Расследования.

(L)DPA сможет предоставить рекомендации касательно изменения цели. В случае разрешенного изменения цели физические лица должны быть проинформированы о любых таких изменениях.

Принцип 4: Минимизация данных

Собираем и используем только те персональные данные, которые необходимы для определенной цели, сообщенной физическому лицу. Это означает обеспечение актуальности и достаточности (не чрезмерности) персональных данных в свете поставленной цели.

Принцип 5: Точность

Поддерживайте точность и актуальность персональных данных. Должны быть внедрены процедуры, гарантирующие, что неточные данные будут удалены, исправлены или обновлены без промедления.

Принцип 6: Ограничение хранения

Не храните персональные данные дольше, чем это необходимо для целей, для которых они были собраны, за исключением случаев, когда это требуется по закону. В таком случае доступ к ним должен быть ограничен. Удалите или обезличьте персональные данные, если для дальнейшего хранения нет законных оснований или целей.

Принцип 7: Безопасность, добросовестность и конфиденциальность

Примите соответствующие технические и организационные меры для защиты персональных данных от уничтожения, потери, изменения, раскрытия или доступа к ним (например, с помощью соответствующей концепции ролей и прав, резервного копирования и восстановления или с помощью шифрования).

При осуществлении таких мер необходимо учитывать риски для отдельного человека. Безопасность ИТ-систем должна оцениваться в свете этих рисков при установке и обслуживании ИТ-систем.

Документируйте и сообщайте о любом нарушении безопасности, которое может привести к возникновению риска для затронутых лиц, в организацию по защите данных. В зависимости от ситуации о таких нарушениях также необходимо уведомлять надзорный орган, частных лиц или другие организации.

Принцип 8: Подотчетность

Быть в состоянии продемонстрировать соответствие требованиям ОКП. Это достигается путем создания и ведения соответствующей документации, такой как:

• записи о действиях по обработке;
• технические и организационные меры, принятые для соблюдения принципов защиты данных и устранения рисков;
• оценка рисков защиты данных и средств контроля.

Вовлечение обработчиков персональных данных

Привлекайте только тех обработчиков, которые предоставляют достаточные гарантии для осуществления соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям ОКП и местным законам о защите данных. Это должно быть обеспечено договором о защите данных между соответствующей компанией и обработчиком.

(Последующая) Передача персональных данных

Осуществлять меры по надлежащей защите передачи персональных данных другим организациям, расположенным за пределами ЕЭЗ, в соответствии с настоящими ОКП. Это можно было бы сделать путем согласования стандартных договорных положений, принятых Европейской Комиссией, с другой организацией.

Оценка рисков защиты данных

Для каждого действия по обработке персональных данных необходимо провести оценку рисков защиты данных. Эта оценка представляет собой формальный процесс оценки влияния деятельности на права и свободы соответствующих заинтересованных субъектов данных.

О выявленных пробелах в контроле и потенциальных рисках необходимо сообщать, и их необходимо документировать. До начала операции по обработке данных должны быть приняты снижающие риски технические и организационные меры.

Оценка воздействия на защиту данных

Если результатом оценки риска защиты данных является высокий риск, необходимо провести оценку воздействия на защиту данных (DPIA). Для этого необходимо проконсультироваться с генеральным директором.

В тех случаях, когда DPIA выявляет высокий риск конкретной операции по обработке персональных данных, должны быть приняты адекватные меры по снижению таких рисков до начала операции по обработке. Если DPIA по-прежнему указывает на высокий риск после осуществления мер, следует проконсультироваться с соответствующим надзорным органом, прежде чем обрабатывать данные.

Физические лица должны иметь возможность осуществлять свои права (права субъекта персональных данных):

• Право на доступ к персональным данным: физическое лицо может запросить доступ/получение информации его персональных данных, обрабатываемых компанией Fresenius (например, цель обработки, категории соответствующих персональных данных, получатели, сроки хранения, наличие автоматизированного процесса принятия решений).
• Право на исправление персональных данных: физическое лицо может попросить исправить неточные или неполные персональные данные.
• Право на удаление персональных данных: физическое лицо может попросить удалить свои персональные данные, за исключением случаев, когда они должны храниться, например, в соответствии с требованиями законодательства.
• Право на ограничение обработки персональных данных: физическое лицо может потребовать ограничить обработку своих персональных данных, если есть сомнения в точность персональных данных, или обработка является незаконной (больше не требуется для соответствующих целей).
• Право на получение персональных данных в переносимом формате: физическое лицо может запросить получение своих персональных данных в широко используемом и машиночитаемом формате, если соблюдены следующие условия:
  • Персональные данные были предоставлены физическим лицом.
  • Обработка основана на согласии физического лица или на договоре с физическим лицом.
  • Обработка осуществляется автоматизированными средствами.
• Право возражать против обработки персональных данных: физическое лицо может, в силу своей личной ситуации, возражать против обработки своих персональных данных, исходя из законных или общественных интересов - такой запрос должен быть рассмотрен. Кроме того, физическое лицо может возражать против прямого маркетинга и профилирования - обработка должна быть остановлена.
• Право не подвергаться автоматизированному принятию решений: физическое лицо имеет право не подвергаться автоматизированному принятию решений (вкл. профилирование), которое может привести к юридическим или аналогичным значительным последствиям для физического лица, за исключением случаев:
  • когда это необходимо для заключения или исполнения договора между физическим лицом и соответствующей организацией;
  • когда это делается на основании явного согласия физического лица.

Доступ к ОКП

ОКП должны быть доступны физическим лицам. ОКП опубликованы в Интернете и интранете. Физические лица также могут получить доступ к ОКП, связавшись с соответствующим должностным лицом по защите персональных данных или любым членом организации по защите данных.

Работа с жалобами по ОКП

Каждый человек имеет право:

• заявлять о нарушении ОКП, местных законов о защите данных, распоряжений надзорных органов, внутренней политики и руководящих принципов или добровольных обязательств, связанных с защитой данных;
• учитывать свои индивидуальные права;
• обеспечивать соблюдение любых других прав по ОКП.

Любые такие жалобы могут быть поданы, например, по телефону, электронной почте или письмом, устно, обратившись к соответствующему должностному лицу по защите персональных данных или на горячую линию по соблюдению нормативных требований. В случае, если жалоба будет признана обоснованной, организация предпримет надлежащие действия для рассмотрения жалобы и проинформирует физическое лицо соответственно в течение месяца.

Ответственность и правоприменение

Физические лица, которые пострадали или понесли ущерб в результате обработки их персональных данных, имеют право на принудительное исполнение этих частей ОКП и, если применимо, на получение компенсации в компетентном суде.

Сотрудничество с надзорными органами

Каждое юридическое лицо обязано сотрудничать с надзорными органами, выполнять рекомендации относительно толкования ОКП и соглашаться на проведение аудита соответствующими надзорными органами.

Обучение

Каждая организация обяжет своих сотрудников участвовать в тренинге по ОКП и защите персональных данных и регулярно повторять такой тренинг. Общее обучение должно проводиться не реже двух раз в год для всех соответствующих сотрудников. Кроме того, должно проводиться обучение по конкретным департаментам (например, для отделов кадров или закупок) с учетом их конкретных потребностей.

Аудит

Все стороны обязуются регулярно проходить аудит (посредством плановых или специальных проверок) для оценки и проверки соответствия требованиям ОКП и внедрения адекватных механизмов для устранения несоответствия организации требованиям ОКП. Организация по защите данных будет следить за любым проведенным аудитом, чтобы оценить, были ли надлежащим образом реализованы предлагаемые корректирующие действия, и задокументировать любые результаты в отчете об аудите. Каждая организация будет предоставлять аудиторские отчеты надзорным органам по запросу.

Обновление ОКП

Стороны рассмотрят местные законы о защите данных и укажут, необходимы ли изменения в ОКП. Фрезениус может внести изменения в ОКП, если это необходимо. О любых существенных изменениях в ОКП будет незамедлительно сообщено каждому юридическому лицу и надзорному органу. О любых других несущественных поправках к ОКП сторонам будет сообщено как можно скорее.