Обработка персональных данных
Политика оператора
в отношении обработки персональных данных и реализации требований к защите персональных данных.
1. Общие положения
1.1. Настоящая Политика обработки персональных данных в АО «Сахафармация» (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в АО «Сахафармация» персональных данных, права субъектов персональных данных, а так же реализуемые в АО «Сахафармация» требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в АО «Сахафармация» вопросы обработки персональных данных работников АО «Сахафармация» и других субъектов персональных данных.
1.4. Настоящая Политика оператора в отношении обработки персональных данных, во исполнение ч. 2 ст. 18.1. Федерального Закона от 27.07.2006 № 152-ФЗ "О персональных данных", является общедоступным документом, декларирующим основы деятельности АО «Сахафармация», обязательна для соблюдения, и подлежит размещению на официальном сайте.
1.5. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о ПДн:
— Федеральный закон Российской Федерации от 27.07.2006 г. № 152- ФЗ «О персональных данных» (далее — 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;
— Постановление Правительства Российской Федерации от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2. Основные термины и понятия, используемые в локальных документах, принимаемых по вопросу обработки персональных данных: персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных:
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Принципы и цели обработки персональных данных
3.1. АО «Сахафармация», являясь оператором персональных данных, осуществляет обработку персональных данных работников АО «Сахафармация» и других субъектов персональных данных, не состоящих с АО «Сахафармация» в трудовых отношениях.
3.2.. Обработка персональных данных в АО «Сахафармация» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников АО «Сахафармация» и других субъектов персональных данных, в том числе зашиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется в АО «Сахафармация» на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей:
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. АО «Сахафармация» принимаются необходимые меры либо
обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных нс установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
обрабатываемые персональные данные уничтожаются либо
обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.3. Персональные данные обрабатываются в АО «Сахафармация» «Газпром» в целях:
обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов АО «Сахафармация»;
осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на АО «Сахафармация», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
регулирования трудовых отношений с работниками АО «Сахафармация» (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
формирования справочных материалов для внутреннего информационного обеспечения деятельности АО «Сахафармация»;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
осуществления прав и законных интересов АО «Сахафармация» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами АО «Сахафармация», или третьих лиц либо достижения общественно значимых целей;
в иных законных целях.
4. Перечень субъектов, персональные данные которых
обрабатываются в АО «Сахафармация»
4.1. В ИСГЩн АО «Сахафармация» обрабатываются следующие категории ПДн:
- работников АО «Сахафармация» и лиц на замещение вакантных должностей;
- близких родственников работников, персональные данные которых необходимы в целях выполнения требований трудового законодательства РФ
- лиц, выполняющих поставки, работы, услуги по договорам;
- отдельные категории граждан, обеспечиваемые необходимыми
лекарственными препаратами;
- и других субъектов персональных данных;
4.2. Источниками получения ПДн являются субъекты персональных данных АО «Сахафармация».
6. Обработка персональных данных
6.1. Обработка персональных данных осуществляется АО «Сахафармация» с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе информации).
6.2. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
6.3. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных без его согласия могут быть переданы:
- в судебные органы в связи с осуществлением правосудия;
- в органы федеральной службы безопасности;
- в органы прокуратуры;
- в органы полиции;
- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
6.4. Хранение персональных данных может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
6.5. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных АО «Сахафармация» в ходе своей деятельности предоставляет персональные данные следующим организациям:
• Федеральной налоговой службе;
• Отделению Пенсионного фонда РФ по Республике Саха (Якутия);
• Страховым медицинским организациям, осуществляющим страхование;
• не поручает обработку персональных данных другим лицам на основании договора;
7. Перечень персональных данных, обрабатываемых в АО «Сахафармация»
Перечень персональных данных, обрабатываемых в ПАО «Газпром», определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами АО «Сахафармация» с учетом целей обработки персональных данных, указанных в разделе 4 Политики.
7.1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в АО «Сахафармация» не осуществляется.
8. Меры по обеспечению безопасности персональных данных при их обработке
7.1. При обработке ПДн, принимаются все, необходимые правовые, организационные и технические меры, соблюдены условия, исключающие несанкционированный доступ к материальным носителям персональных данных и обеспечивающих их сохранность от неправомерного или случайного уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается следующими способами:
• назначен ответственный за организацию обработки ПДн;
• созданы внутренние документы, регламентирующие вопросы обработки и обеспечения безопасности персональных данных, в том числе настоящая Политика, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• ведется учет лиц, допущенных к работе с ПДн;
• применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных с учетом уровня их защищенности;
• работники, непосредственно осуществляющие обработку ПДн, ознакомлены с требованиями законодательства Российской Федерации о ПДн, документами, определяющими политику в отношении обработки персональных данных, локальными актами в отношении обработки ПДн и подписали обязательство о неразглашении информации, содержащей персональные данные;
• осуществляется физическая охрана помещений и определен порядок доступа к ним;
• реализуется ограничение доступа в помещения где размещены технические средства, предназначенные для обработки персональных данных и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
• осуществляется резервное копирование;
• осуществляется внутренний контроль соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ "О персональных данных";
• для защиты персональных данных при их обработке используются сертифицированные средства защиты;
• определены угрозы безопасности ПДн при их обработке в ИСПДн;
• устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн,
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
• проведение расследований и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн; а также принятие мер по предотвращению возможных опасных последствий подобных нарушений;
9. Права субъектов ПДн
9.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
• подтверждение факта обработки персональных данных Колледжем;
• сведения о правовых основаниях и целях обработки персональных данных;
сведения о применяемых способах обработки персональных данных; сведения о наименовании и местонахождении;
• перечень обрабатываемых персональных данных, относящихся к субъекту, от которого поступил запрос и информацию об источниках их получения, если иной порядок предоставления таких данных, не предусмотрен федеральным законом;
• сведения о сроках обработки персональных данных, в том числе сроках их хранения;
• информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
• сведения о порядке осуществления прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
• иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" или другими федеральными законами;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать свое согласие на обработку персональных данных;
• требовать устранения неправомерных действий АО «Сахафармация» в отношении его персональных данных;
10. Требования к персоналу по обеспечению защиты информации
10.1. Все работники, являющиеся пользователями ИСПДн, должны чётко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ИСПДн.
10.2. При вступлении в должность нового работника, выполнение трудовых обязанностей которого связано с доступом к персональным данным, необходимо организовать его ознакомление с необходимыми документами, регламентирующими требования по защите Информации, в том числе со сведениями настоящей Политики, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
10.3. Работники должны следовать установленным процедурам поддержания режима безопасности Информации при выборе и использовании паролей (если не используются технические средства аутентификации), обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Работники должны быть проинформированы об угрозах нарушения режима безопасности Информации и ответственности за его нарушение.
11. Способы обработки персональных данных
11.1. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств ОАО «Сахафармация» использует как автоматизированную обработку персональных данных, так и неавтоматизированную обработку персональных данных (на бумажном носителе информации). Совокупность операций обработки включает сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных.
11.2. Обработка персональных данных осуществляется:
• после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июля 2006 года № 152-Ф'З;
• после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Саха (Якутия), за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27 июля 2006 года № 152-ФЗ;
• после принятия необходимых мер по защите персональных данных.
12. Ответственность должностных лиц
12.1.Ответственность должностных лиц колледжа, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации в области персональных данных и локальными актами ОАО «Сахафармация».