1. Общие правила
1.1. АО Гриндекс (далее – Компания) подтверждает, что к персональным данным компании соблюдаются самые высокие требования безопасности и максимальная конфиденциальность субъектов данных. Компания инвестирует ресурсы и заботится о персональных данных в своей повседневной деятельности.
1.2. Целью настоящей Политики конфиденциальности (далее – Политика) является предоставление информации о том, как Компания обрабатывает персональные данные идентифицируемых физических лиц – Субъекта данных (далее – Субъект данных), которые предоставляются Компании в тех случаях, когда Субъекты данных взаимодействуют с Компанией, используя доступные данные, каналы связи (телефон, электронная почта, почта) или посещение веб-сайта Компании или посещение помещений и территорий Компании, а также публичных мероприятий, связанных с деятельностью Компании.
1.3. Политика предоставляет информацию о том, как Компания получает персональные данные об объемах данных и времени их обработки, о защите данных, и информирует Субъекта данных о своих правах и обязанностях.
1.4. При обработке персональных данных Компания соблюдает действующие в Латвийской Республике законы и нормативные акты, законодательство Европейского Союза и другие применимые нормативные акты в области конфиденциальности и обработки данных, в т.ч. Регламент (EU) 2016/679 Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общие правила защиты данных) (далее именуемой GDPR).
1.5. Настоящая Политика применяется к любому Субъекту данных, персональные данные которого обрабатывает Компании и подлежит обработке данных независимо от того, каким образом Данные предоставляются Компании. Для получения дополнительной информации о трудовых отношениях, мы предоставляем дополнительную информацию отдельно.
1.6. Настоящая Политика призвана максимально упростить ознакомление с вопросами, касающимися защиты персональных данных в нашей Компании, но некоторые определения используются в соответствии с тем, как они представлены в GDPR:
- «персональные данные» – означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как имя, идентификационный номер, данные о местонахождении, идентификатор в интернете (онлайн-идентификатор), или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица;
- «обработка» – означает любую операцию или набор операций, которые совершаются с персональными данными или набором персональных данных, с использованием автоматизированных средств и без таковых, в числе которых сбор, запись, организация, структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза, использование, раскрытие посредством передачи, рассылка или иной способ предоставления для доступа, группировка или комбинирование, отбор, стирание или уничтожение;
- «контроллер» – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; в случае, когда цели и средства такой обработки определяются правом Евросоюза или государства-члена, контроллер, либо конкретные критерии для его выдвижения, могут быть предусмотрены правом Евросоюза или государства-члена;
- «надзорный орган» – означает самостоятельный полномочный государственный орган, созданный в государстве-члене в соответствии со Статьей 51 GDPR. В Латвийской Республике – Государственная инспекция данных.
1.7. В этой Политике Компания описала шаги, предпринятые для обеспечения защиты интересов и свобод Субъекта данных, а также обеспечения справедливой, законной и прозрачной обработки данных.
2. Контроллер и контактная информация
2.1. Контроллером обработки персональных данных является АО Гриндекс, единый регистрационный номер 40003034935, юридический адрес: Рига, ул. Крустпилс, 53, LV-1057, телефон +371 67083205, электронная почта: grindeks@grindeks.lv).
2.2. Если у вас есть вопросы или неясности в отношении данной Политики или обработки Персональных данных, отправьте электронное письмо по адресу: grindeks@grindeks.lv или лично обращайтесь по юридическому адресу Компании.
3. Типы персональных данных
3.1. Типы персональных данных, обрабатываемых Компанией, зависят от услуг Компании, используемых Субъектом данных, или действий самого Субъекта данных.
3.2. асто обрабатываемые данные получают при приобретении Субъектом данных продуктов Компании или путем выражения желания получать услуги или продукцию, предоставляемую Компанией. В этом случае могут быть обработаны данные:
- имя;
- персональный код;
- контактная информация;
- информация о полученных услугах (мнение субъекта данных) и др.
3.3. Если клиент заявляет претензии о качестве продукта, Компания обязана рассмотреть такую жалобу в соответствии с требованиями нормативных актов, которые, в свою очередь, определяют минимальный объем персональных данных, которые заявитель должен указать в своей жалобе (например, имя, фамилия, контактная информация), таким образом правовая основа для обработки таких данных и соответствующая информация заносятся в документы Компании и хранятся в системе обработки данных Компании.
4. Виды обработки данных, правовые основы, сроки хранения и права доступа
4.1. Контрактная обработка данных. Когда субъект данных получает услуги (участвуя в учебных семинарах, организуемых Компанией) или покупает продукцию, произведенную Компанией (включая получение бесплатных образцов продуктов), считается, что между Компанией и Субъектом данных заключен договор.
4.1.1. Согласно GDPR, правовая основа для такой обработки:
- пункт (b) параграфа 1 статьи 6 GDPR – обработка необходима для исполнения договора, в котором Субъект данных является одной из сторон, либо для принятия мер по требованию Субъекта данных до заключения договора;
- пункт (c) параграфа 1 статьи 6 GDPR – обработка необходима для соблюдения правовых обязательств, субъектом которых является контроллер;
- пункт (f) параграфа 1 статьи 6 GDPR – обработка необходима для целей обеспечения законных интересов контроллера или третьего лица, за исключением случаев, когда такие интересы не принимают во внимание интересы или основные права и свободы Субъекта данных, которые требуют защиты персональных данных, в частности, в случаях, когда Субъектом данных является ребенок.
4.1.2. Продолжительность хранения такой обработки данных определяется в соответствии с целью обработки данных и нормативными требованиями с учетом следующих обстоятельств:
- срок хранения данных указан в законодательстве Латвийской Республики или Европейского Союза (например, «Закон об архивах», Закон о бухгалтерском учете и т. д.);
- реализация и защита законных интересов Компании и третьих лиц;
- защита жизненно важных интересов Субъекта данных или другого физического лица, в том числе жизни и здоровья.
4.1.3. Относительно продуктов Компании с определенным сроком реализации информация, связанная с этим продуктом, сохраняется все это время.
4.1.4. Персональные данные, если нет законных оснований для их обработки, удаляются навсегда.
4.1.5. Права доступа к этим данным ограничены и могут быть переданы третьим лицам без согласия Субъекта данных в соответствии с требованиями нормативных актов, в т.ч. согласно GDPR:
- правоохранительным органам, судам или другим органам, где существует правовая основа для запроса информации, конкретно указывающей, для каких целей и на какой правовой основе будут использоваться личные данные;
- третьим сторонам, с которыми Компания заключила договор (контроллеры данных), при условии, что такой договор содержит требования к защите данных, а договорный партнер обязуется обрабатывать данные Субъекта данных с эквивалентным уровнем безопасности;
- третьим лицам на основании законных интересов Компании, необходимых для улучшения обслуживания и предоставления качественных услуг;
- Субъекту данных, по его письменному, четкому и недвусмысленному запросу, путем идентификации вышеупомянутого лица;
- суду или иному надзорному органу на основании законных интересов Компании в отношении лица, нарушившего законные интересы Компании.
4.2. Обработка данных в рамках видеонаблюдения. Компания получает персональные данные посредством видеонаблюдения, целью которого является предотвращение или выявление уголовных преступлений в связи с защитой законных интересов Компании и третьих лиц в случае преследования и защиты жизненно важных интересов, жизни и здоровья людей.
4.2.1. Согласно GDPR, правовая основа для такой обработки:
- пункт (d) параграфа 1 статьи 6 GDPR – обработка необходима для защиты жизненных интересов Субъекта данных, либо иного физического лица;
- пункт (f) параграфа 1 статьи 6 GDPR – обработка необходима для целей обеспечения законных интересов контроллера или третьего лица, за исключением случаев, когда такие интересы не принимают во внимание интересы или основные права и свободы Субъекта данных, которые требуют защиты персональных данных, в частности, в случаях, когда Субъектом данных является ребенок.
4.2.2. Система видеозаписи Компании вводит физическое лицо Субъекта данных (характеристики роста, изображение лица, физические факторы), с помощью которого можно идентифицировать конкретное физическое лицо и время, когда данное лицо находилось на территории / в помещениях Компании.
4.2.3. Данные могут быть предоставлены Компании в тот момент, когда человек входит в зону съемок видеокамеры, о чем ранее предупреждает предупреждающий знак и уведомление о том, что видеонаблюдение проводится в помещениях Компании и прилегающей зоне.
4.2.4. Если во время видеонаблюдения не получено видео, по которому можно идентифицировать Субъекта данных (например, низкое разрешение), то положения настоящей Политики, которые применяются к защите личных данных отдельных лиц, не применяются.
4.2.5. Видеонаблюдение не проводится в зонах, где Субъекты данных ожидают повышенную конфиденциальность (в зонах отдыха, раздевалках и т.д.) Основные зоны записи CCTV сосредоточены в коридорах, зонах входа / выхода, периметре здания и зоны и других зонах повышенного риска.
4.2.6. Видеозаписи хранятся в течение 30 (тридцати) дней, если только они не отражают возможные незаконные действия или информацию, которая может помочь Компании или третьим лицам защитить их законные интересы. В этом случае соответствующая видеозапись будет сохранена до реализации правового интереса.
4.2.7. Данные записи видеонаблюдения должны классифицироваться как информация ограниченного доступа, а доступ к личным данным, содержащимся в видеозаписи, ограничен руководством Компании или назначенным сотрудником, который решит, принимать ли запросы на доступ от Субъекта данных и третьих лиц в соответствии с Правилами видеонаблюдения Компании.
4.2.8. Получателями данных видеонаблюдения могут быть уполномоченные сотрудники Компании, внешние контроллеры данных, сотрудники правоохранительных органов, другие правообладатели, если их права доступа предусмотрены нормативными актами.
4.3. Обработка данных, полученных от организованных Компанией мероприятий.
Персональные данные – видео и фотоизображения, направленные на популяризацию и продвижение бренда Гриндекс, среди профессионалов, а также широкой общественности, используются на веб-сайтах Компании для представления мероприятий, организуемых компанией, в средствах массовой информации. Персональные данные, полученные в ходе мероприятий, организованных Компанией и ее партнерами по сотрудничеству, могут быть размещены на веб-сайтах Компании, в информационных материалах, а также в прессе.
4.3.1. Согласно GDPR, правовая основа для такой обработки:
- пункт (f) параграфа 1 статьи 6 GDPR – обработка необходима для целей обеспечения законных интересов контроллера или третьего лица, за исключением случаев, когда такие интересы не принимают во внимание интересы или основные права и свободы Субъекта данных, которые требуют защиты персональных данных, в частности, в случаях, когда Субъектом данных является ребенок. Компания имеет законный интерес к отражению организованных ею мероприятий, в которых она участвует в качестве участника с целью продвижения и обеспечения узнаваемости бренда Гриндекс.
4.3.2. Компания имеет законный интерес привлечь внимание общественности к успешному развитию бизнеса и стать узнаваемым брендом среди фармацевтических компаний, работающих на фармацевтическом рынке.
4.3.3. Публикация любой информации, содержащей персональные данные, отвечает высоким этическим стандартам, стремясь обеспечить, чтобы использование данных осуществлялось таким образом, чтобы не нарушать права и свободы Субъекта данных.
4.3.4. В случае, если Субъект данных имеет претензию против обработки его / ее личных данных, основанную на фактах и обстоятельствах, о которых Компания не знает, он / она имеет любую возможность связаться с Компанией и возразить против обработки соответствующих данных.
4.3.5. Компания планирует постоянно хранить эту категорию данных как часть архива, который является свидетельством соответствующего периода и служит исторической информацией для будущих поколений, как Компания со временем развивалась, а спектр производимых услуг и продуктов увеличился.
4.3.6. Получателями информации, публикуемой на мероприятии Компании, могут быть третьи стороны, поэтому они могут быть доступны неограниченному кругу заинтересованных лиц в будущем.
4.3.7. Доступ к данным, указанным в данном разделе, имеет любое заинтересованное лицо, посещающее веб-сайты Компании, или любой читатель, если публикация доступна в прессе.
4.4. Персональные данные, полученные в результате входящих и исходящих сообщений. В рамках хозяйственной деятельности Компании существует постоянная связь с различными физическими и юридическими лицами, которая также содержит информацию о персональных данных. В случаях, когда Субъект данных подал жалобу или запрос, Компания обязана предоставить ответ в соответствии с процедурами, указанными в нормативных актах, таким образом, это создает условия, когда персональные данные Субъекта данных обрабатываются одновременно, такая обработка основана на выполнении юридического обязательства Компании.
4.4.1. Согласно GDPR, правовая основа для такой обработки:
- пункт (c) параграфа 1 статьи 6 GDPR – обработка необходима для соблюдения правовых обязательств, субъектом которых является контроллер;
- пункт (f) параграфа 1 статьи 6 GDPR – обработка необходима для целей обеспечения законных интересов контроллера или третьего лица, за исключением случаев, когда такие интересы не принимают во внимание интересы или основные права и свободы Субъекта данных, которые требуют защиты персональных данных, в частности, в случаях, когда Субъектом данных является ребенок.
4.4.2. Компания хранит соответствующую информацию не более двух лет, если только соответствующая информация не является необходимой для обеспечения защиты законных интересов Компании в течение более длительного периода времени, например, в ходе судебного разбирательства или в ситуациях, когда поведение Компании оценивается другим государственным надзорным органом. В этом случае персональные данные Субъекта данных могут храниться до завершения законного интереса.
4.4.3. Получателями таких персональных данных могут быть уполномоченные сотрудники Компании, контроллеры персональных данных, правоохранительные и надзорные органы, другие правообладатели в порядке, установленном нормативными актами.
5. Права и обязанности Субъекта данных
5.1. Субъект данных имеет право на получение информации, указанной в нормативных актах, относительно обработки его данных или ограничения обработки в отношении самого Субъекта данных или право возражать против обработки (в том числе против обработки персональных данных на основе законных интересов Компании). Это право должно быть реализовано, если обработка не вытекает из обязательств Компании в соответствии с применимыми законами и нормативными актами и отвечает общественным интересам. Субъект данных имеет право:
5.1.1. требовать от Компании доступа к своим персональным данным;
5.1.2. получать информацию о том, какие персональные данные о нём доступны Компании и какова цель их обработки;
5.1.3. информацию о категории получателей персональных данных, то есть лиц, которым эти данные были раскрыты;
5.1.4. информацию о времени, в течение которого хранятся персональные данные, или критерии, используемые для определения этого периода.
5.2. Если Субъект данных считает, что информация, находящаяся в распоряжении Компании, является устаревшей, неточной или неправильной, Субъект данных имеет право запросить исправление своих персональных данных.
5.3. Субъект данных может подать запрос на реализацию своего права в письменном виде:
5.3.1. лично, предъявив документ, удостоверяющий личность (потому что Субъект данных обязан идентифицировать себя);
5.3.2. отправив письмо в электронном виде по электронной почте, и подписав его безопасной электронной подписью. В этом случае предполагается, что Субъект данных идентифицировал себя, отправив такой запрос, подписанный защищенной электронной подписью;
5.3.3. заказным письмом. Ответ на такой запрос будет адресован конкретному Субъекту данных с использованием заказного письма, что гарантирует получение письма соответствующим Субъектом данных, указанным при получении. В случае сомнений или подозрений, Компания имеет право запросить дополнительную информацию у Субъекта данных, которая позволила бы однозначно идентифицировать его (с целью недопущения попадания данных к третьим лицам).
5.4. Компания отправит ответ Субъекту данных заказным письмом на контактный адрес, указанный им заказным письмом. Если Субъект данных указал в запросе, что он желает получить ответ в электронной форме, ответ будет предоставлен в электронном виде на адрес электронной почты, указанный в запросе.
5.5. При обработке запроса субъекта данных на осуществление своих прав Компания проверяет личность Субъекта данных, оценивает запрос и выполняет его в соответствии с нормативными актами.
5.6. Заявки Субъекта данных в отношении настоящих прав Компания обрабатывает бесплатно. В рассмотрении заявки может быть отказано или она может быть подвергнута разумной плате, основанной на административных расходах, при условии, что она является явно необоснованной или чрезмерной, а также в других случаях, предусмотренных законом.
5.7. Субъект данных может дать согласие на обработку персональных данных, правовая основа которой в соответствии с требованиями GDPR зависит от согласия Субъекта данных, если таковое имеется, в зарегистрированном офисе Компании. Во всех других случаях, когда Компания осуществляет свои законные права для обеспечения соблюдения внешних нормативных требований, согласие на обработку персональных данных для Субъекта данных не требуется.
5.8. Субъект данных имеет право в любое время отозвать согласие на обработку данных в том же виде, как оно дано, то есть в зарегистрированном офисе Компании, и в этом случае дальнейшая обработка на основании предварительного согласия, предоставленного для этой цели, не будет производиться в будущем.
5.9. Отзыв согласия не влияет на обработку данных в то время, когда согласие Субъекта данных было действительным (Отзыв согласия не имеет обратной силы). Отзыв согласия не может привести к прерыванию обработки данных, осуществляемой на основании других правовых основ.
5.10. Субъект данных имеет право запросить удаление или возражение против обработки его персональных данных, если он считает, что персональные данные были обработаны незаконно, или если они больше не нужны для целей, для которых они были собраны и / или обработаны (для целей реализации принципа «быть забытым» в GDPR).
5.11. Персональные данные Субъекта данных не могут быть удалены, если обработка персональных данных необходима для следующих целей:
5.11.1. для Компании или третьей стороны для создания, реализации или защиты своих законных интересов;
5.11.2. для защиты имущества Компании;
5.11.3. для защиты жизненно важных интересов Субъекта данных или другого физического лица, включая жизнь и здоровье;
5.11.4. для создания архива в соответствии с нормативными актами Латвийской Республики, регламентирующими формирование архивов.
5.12. Субъект данных имеет право требовать от Компании ограничить обработку персональных данных Субъекта данных при наличии хотя бы одного из следующих обстоятельств:
5.12.1. Субъект данных оспаривает точность персональных данных – на тот момент, когда контроллер может проверить точность персональных данных;
5.12.2. обработка является незаконной, и Субъект данных выступает против удаления личных данных и вместо этого запрашивает ограничение на использование данных;
5.12.3. контроллеру больше не нужны персональные данные для обработки, но они необходимы Субъекту данных для создания, реализации или защиты законных требований;
5.12.4. Субъект данных возражал против обработки в соответствии с GDPR до тех пор, пока не подтверждено, что законные причины контроллера не перевешивают законные причины Субъекта данных.
5.13. Если обработка персональных данных Субъекта данных ограничена в соответствии со статьей 5.12 Политики, такие персональные данные должны обрабатываться (не храниться) только с согласия Субъекта данных или для защиты законных требований или защиты прав или важных интересов другого физического или юридического лица.
5.14. Компания обязана информировать Субъект данных до снятия ограничения на обработку персональных данных Субъекта данных.
6. Защита персональных данных
6.1. Компания постоянно обеспечивает и совершенствует меры защиты данных для защиты персональных данных Субъектов данных от несанкционированного доступа, случайной потери, раскрытия или уничтожения. Компания приняла во внимание конкретные риски обработки данных, в частности, уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к персональным данным, передаваемым, хранящимся или иным образом обрабатываемым.
6.2. Компания использует соответствующие технические и организационные требования, в т.ч. брандмауэры, программы для раскрытия вторжений, анализа и шифрования данных.
6.3. Компания тщательно проверяет всех партнеров по сотрудничеству, которые с разрешения Компании обрабатывают данные физических лиц от ее имени, а также оценивает, способны ли партнеры по сотрудничеству (контроллеры персональных данных) обеспечить адекватные меры безопасности для обработки данных физических лиц в соответствии с полномочиями Компании и нормативными актами.
6.4. Компания должна принять меры для обеспечения того, чтобы любое лицо, действующее под руководством Компании, которое имеет доступ к персональным данным, не обрабатывало их без указания Компании, если только это не требуется по закону.
6.5. Компания обеспечивает соблюдение требований к обработке и защите данных в соответствии с нормативными актами. В случае нарушения персональных данных, которое может представлять высокий риск для прав и свобод Субъекта данных, и нет никаких исключений в соответствии с параграфом 3 статьи 34 GDPR, Компания должна без неоправданной задержки уведомить Субъекта данных о нарушении персональных данных.
6.6. В случае претензии Субъекта данных Компания предпримет все необходимые шаги для разрешения претензии путем взаимных переговоров, но в случае неудачи Субъект данных всегда будет иметь право обратиться в контролирующий орган – Государственную инспекцию данных.
7. Сайты компании и использование cookie
7.1. Веб-сайты Компании, могут использовать технологию cookie для следующих целей:
7.1.1. улучшить пользовательский опыт сайта, обеспечить действия и функциональность;
7.1.2. предоставить Субъекту данных возможность свободно посещать и просматривать веб-сайты, используя все предлагаемые им возможности, включая информацию об услугах, предлагаемых Компанией;
7.1.3. определить наиболее посещаемые разделы веб-сайтов путем получения статистики о веб-сайтах и количестве посетителей их разделов, о затраченном времени и т. д., используя Google Analytics;
7.1.4. отображать индивидуальную рекламную информацию для посетителя сайтов.
7.2. Файлы cookie идентифицируют только оборудование Субъекта данных, но не раскрывают личность Субъекта данных в какой-либо форме.
7.3. Веб-сайты Компании могут содержать ссылки на веб-сайты других поставщиков услуг (третьих сторон), которые имеют свои собственные правила использования и защиты персональных данных, за которые Компания не несет ответственности.
7.4. Субъект данных имеет право в любое время отказаться от дальнейшей обработки своих данных, если только нет других правовых оснований для обработки данных или иным образом, предусмотренных законом.
8. Коммуникация с Субъектом данных
8.1. Компания связывается с Субъектом данных, используя контактные данные (номер телефона, адрес электронной почты или почтовый адрес), предоставленные Субъектами данных.
8.2. Компания связывается в рамках выполнения договорных обязательств на основании договора и контактных данных, указанных в договоре.
8.3. В других случаях Компания связывается с Субъектом данных на основании запроса, поданного Субъектом данных, в соответствии с типом связи указанным Субъектом данных и / или нормативными требованиями.
9. Заключительные положения
9.1. Компания имеет право вносить изменения в Политику.
9.2. Если настоящая Политика будет обновлена, изменения вступят в силу с даты, указанной в обновленной Политике.
9.3. Чтобы обеспечить прозрачную и честную обработку данных, последняя версия Политики всегда размещается на веб-сайте.
9.4. Субъект данных обязан ознакомиться с настоящей Политикой, а также ознакомить с этой политикой любое лицо, связанное с данным Субъектом данных, чьи интересы могут, таким образом, быть затронуты процессами обработки данных этого лица. Компания ожидает, что любые предоставленные персональные данные не будут противоречить интересам других лиц.
9.5. Если настоящая Политика переведена на другие языки, текст на латышском языке будет иметь преимущественную силу в случае несоответствия.
9.6. Настоящая Политика применяется с 2019 года.