Регламент обработки персональных данных

УТВЕРЖДЕНО

Приказом № 84-П

от 22.05.2019 года

 

 

 

Политика информационной безопасности

в отношении обработки и защиты персональных данных, информационных систем персональных данных общества с ограниченной ответственностью «Трик-Фарма»

 

1. Общие положения.

 

1.1. Настоящий документ определяет политику общества с ограниченной ответственностью «Трик-Фарма» (далее – Общества) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.2. Настоящая Политика информационной безопасности (далее – Политика) Общества разработана в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и на основании:

· Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

· Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;

· Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

· Приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

1.3. Настоящая Политика определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников организации (далее - Оператор) с персональными данными покупателя и сотрудников оператора и гарантии конфиденциальности сведений о клиентах и сотрудниках, предоставленных ими в организации; права покупателя и сотрудников оператора при обработке их персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных.

1.4. Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

1.5. Целью настоящей Политики является обеспечение выполнения требований законодательства Российской Федерации (далее законодательства РФ) в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах ООО «Трик-Фарма».

1.6. Политика действует в отношении информации, относящейся к персональным данным субъектов, которую ООО «Трик-Фарма» получает о субъекте персональных данных в процессе предоставления услуг или исполнения договорных обязательств.

1.7. Настоящая Политика раскрывает состав субъектов персональных данных, принципы, порядок и условия обработки персональных данных сотрудников Общества, покупателя и всех прочих лиц, вступающих в отношения с Обществом, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.8. Персональные данные относятся к категории конфиденциальной информации, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами ООО «Трик-Фарма» по защите конфиденциальной информации.

1.9. Настоящая политика является открытым документом. Все желающие могут ознакомиться на сайте Общества в разделе «Регламент обработки персональных данных».

 

2. Правовые основания для обработки персональных данных

 

2.1. Общество обрабатывает персональные данные возникающие в процессе:

- трудовых отношений между работником и работодателем;

- выполнение основной функции Общества – розничная фармацевтическая деятельность (аптека готовых лекарственных форм).

2.2. При хранении и обработке персональных данных Общество руководствуется:

- Конституцией РФ;

- Гражданским кодексом РФ;

- Трудовым кодексом РФ;

- Налоговым кодексом РФ;

- Федеральным законом РФ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

- Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты;

- Федеральным законом РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

- Федеральным законом РФ от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»

- Постановление Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

- Уставом Общества.

 

3. Категории субъектов персональных данных

 

3.1 К персональным данным, относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.2 ООО «Трик-Фарма» обрабатывает персональные данные следующих категорий субъектов персональных данных:

- персональные данные работников ООО «Трик-Фарма» в связи с трудовыми отношениями и касающиеся конкретного работника;

- персональные данные детей работников ООО «Трик-Фарма» в связи с оформлением льгот в соответствии с требованиям законодательства Российской Федерации;

- персональные данные покупателя ООО «Трик-Фарма» в связи с гражданско-правовыми отношениями;

- персональные данные руководителя или сотрудника юридического лица, являющегося контрагентом ООО «Трик-Фарма», необходимые ООО «Трик-Фарма» для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации.

 

4. Цели обработки персональных данных

 

4.1. ООО «Трик-Фарма» осуществляет обработку персональных данных в следующих целях:

- Осуществления фармацевтической деятельности, в соответствии с имеющимися лицензиями, предусмотренной, действующим законодательством Российской Федерации;

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством;

- организации кадрового учета, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам;

- ведения кадрового делопроизводства, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных».

 

5. Сроки обработки персональных данных

 

5.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, а также иными требованиями законодательства РФ и нормативными документами.

5.2. В ООО «Трик-Фарма» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в ООО «Трик-Фарма» данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

6. Принципы, порядок и условия обработки персональных данных

 

6.1. Обработка персональных данных ООО «Трик-Фарма» осуществляется на основе принципов:

- законности и справедливости целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ООО «Трик-Фарма»;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения, созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

6.2 Обработка персональных данных осуществляется на основании условий, определенных законодательством РФ.

6.3. Общество в своей деятельности обеспечивает соблюдение требований к обработке персональных данных, содержащихся в документах, перечисленных в п. 1.2. настоящей Политики.

6.4. Учреждение использует смешанный способ обработки персональных данных, содержащихся как в электронных базах данных, так и на бумажных носителях информации, путем сбора, систематизации, хранения, уточнения, использования, передачи, обезличивания, блокирования и уничтожения.

6.5. Общество не осуществляет обработку биометрических персональных данных субъектов персональных данных, то есть сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

6.6. Общество не осуществляет трансграничную передачу персональных данных на территории иностранных государств. Все персональные данные, обрабатываемые в Обществе, хранятся на территории Российской Федерации.

6.7. Обработка персональных данных осуществляется:

- после получения письменного согласия субъекта персональных данных, составленного по утверждённой Оператором форме, соответствующей требованиям федерального закона, за исключением случаев, предусмотренных частью 2 статьи 6 ФЗ «О персональных данных»;

- после принятия Оператором необходимых мер по защите персональных данных.

6.8. Все персональные данные покупателя следует получать лично у покупателя или у его законного представителя. Если персональные данные покупателя возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.9. Оператор сообщает покупателю или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных и последствиях отказа покупателя дать письменное согласие на их получение.

6.10. Оператор осуществляет обработку персональных данных только после получения письменного согласия покупателя (или его законного представителя) на обработку его персональных данных за исключением случаев, предусмотренных действующим законодательством.

6.11. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.

6.12. Обработка персональных данных осуществляется следующими способами: автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; смешанная обработка персональных данных.

6.13. Обработка Оператором персональных данных покупателя осуществляется исключительно в целях оказания пациенту качественных услуг в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов, обеспечения контроля объёмов и качества оказанных услуог.

6.14. Оператор при определении объема и содержания обрабатываемых персональных данных покупателя руководствуется Конституцией Российской Федерации, Основами законодательства Российской Федерации об охране здоровья граждан, иными нормативными правовыми актами в сфере охраны здоровья населения и обработки персональных данных.

6.15. Защита персональных данных покупателя от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств в порядке, установленном законодательством, и принятыми Оператором в соответствии с ним локальными нормативными актами.

 

7. Права

 

7.1. ООО «Трик-Фарма» как оператор персональных данных, вправе:

- отстаивать свои интересы в суде;

- передавать и раскрывать персональные данные субъектов третьим лицам, если это предусмотрено требованиям действующим законодательства РФ;

- отказывать в предоставлении персональных данных в случаях предусмотренных законодательством РФ;

- использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством РФ.

7.2. Субъект персональных данных имеет право

- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- требовать перечень своих персональных данных.

- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Права Субъекта персональных на доступ к своим персональным данным ограничиваются в случаях, предусмотренных действующим законодательством

 

8. Понятие и состав персональных данных покупателя. Порядок использования, хранения, передачи персональных данных покупателя

 

8.1. Персональные данные покупателя - любая информация, относящаяся прямо или косвенно к покупателю (субъекту персональных данных).

8.2. В целях ведения персонифицированного учета осуществляется обработка следующих персональных данных о лицах, которым оказываются услуги (покупателях):

1) фамилия, имя, отчество (последнее - при наличии); 2) пол; 3) дата рождения.

8.3. Персональные данные покупателя предоставляются Оператору после получения соответствующего информированного согласия покупателя на обработку их персональных данных. Персональные данные покупателя у Оператора содержаться в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях.

8.4. Доступ к обработке персональных данных покупателя (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.

8.5. Конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации, содержащими персональные данные покупателя возлагаются на сотрудников Оператора и закрепляются в должностных инструкциях.

8.6. Требования к месту обработки персональных данных, в том числе к серверной, обеспечивающие их защищённость устанавливаются Оператором.

8.7. Перечень лиц, имеющих право доступа к персональным данным покупателя и обработке их персональных данных, определяется приказом руководителя Оператора.

8.8. С лицами, допущенными к обработке персональных данных покупателя, заключается Соглашение о неразглашении.

8.9. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные покупателя, которые необходимы для выполнения конкретных функций.

8.10. Оператор при создании и эксплуатации информационных систем персональных данных покупателя с использованием средств автоматизации обеспечивает проведение классификации информационных систем в установленном порядке.

8.11. Оператор при создании и эксплуатации информационных систем персональных данных покупателя с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.

8.12. Оператор при осуществлении обработки персональных данных покупателя без использования средств автоматизации выполняет следующие требования.

- копирование содержащейся в таких журналах (реестрах, книгах, иных документах) информации не допускается, за исключением случаев, предусмотренных действующим законодательством.

8.13.1. Обработка персональных данных покупателя, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных покупателя можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

8.12.2. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

8.13.3. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

8.13.4. Уточнение персональных данных покупателя при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.


 

9. Обеспечение безопасности персональных данных

 

9.1. Меры по обеспечению безопасности персональных данных при их обработке принимаются в соответствии с требованиями документов, перечисленных в пункте 1.2. настоящей Политики.

9.2. ООО «Трик-Фарма» принимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа, а также иных неправомерных действий в отношении персональных данных.

9.3. В целях координации действий по обеспечению безопасности персональных данных в ООО «Трик-Фарма» из числа работников назначены ответственные за обеспечение безопасности персональных данных лица.

9.4. Общество обеспечивает конфиденциальность обрабатываемых персональных данных, обеспечивает их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных. Персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных, если иное не предусмотрено Федеральными законами.

 

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

 

10.1 Лица, виновные в нарушении установленных требований в сфере обработки персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

10.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

10.3. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных обучающихся привлекаются к ответственности, предусмотренной действующим законодательством.

 

11. Заключительные положения и сведения об операторе.

 

11.1. Настоящее Положение вступает в законную силу с момента утверждения его руководителем Оператора и действует до утверждения нового положения.

11.2. Настоящая Политика является внутренним документом ООО «Трик-Фарма», общедоступной и подлежит размещению на официальном сайте Https://Trik.ru

11.3. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится на сайте : Https://Trik.ru в разделе «Регламент обработки персональных данных».

11.4. Контроль исполнения требований настоящей Политики осуществляется лицом из числа работников ООО «Трик-Фарма», назначенным ответственным за организацию обработки персональных данных.

Ответственным за организацию обработки персональных данных в ООО «Трик-Фарма» назначен инженер-программист Цыгынок А.В.

11.5. Сведения об операторе:

Наименование: Общество с ограниченной ответственностью «Трик-Фарма»

Сокращенное наименование: ООО «Трик-Фарма»

Адрес:г.Краснодар, ул.Старокубанская 114, литер А1, оф. 102

ИНН:2312169623.