Политика в отношении обработки персональных данных
Политика в отношении обработки персональных данных
Политика в отношении обработки персональных данных
в ООО «Надежда-Фарм»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных в ООО
«Надежда-Фарм» (далее - Политика) разработана во исполнение требований
Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"
(далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод
человека и гражданина при обработке его персональных данных, в том числе защиты
прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые
обрабатывает общество с ограниченной ответственностью "Надежда-Фарм"
(далее - Оператор, ООО "Надежда-Фарм").
1.3. Положения Политики
распространяются на все отношения, связанные с обработкой персональных данных,
осуществляемой Обществом:
— с использованием средств автоматизации, в том числе в
информационно-телекоммуникационных сетях, или без использования таких средств,
если обработка персональных данных без использования таких средств
соответствует характеру действий (операций), совершаемых с персональными
данными с использованием средств автоматизации, то есть позволяет осуществлять
в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных
на материальном носителе и содержащихся в картотеках или иных
систематизированных собраниях персональных данных, и \ или доступ к таким
персональным данным;
— без использования средств автоматизации.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных
настоящая Политика публикуется в свободном доступе в
информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Основные понятия, используемые в Политике:
персональные данные - любая
информация, относящаяся к прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных);
субъект персональных данных – физическое лицо, которое прямо или
косвенно определено или определяемо с помощью персональных данных;
оператор персональных данных (оператор) -
государственный орган, муниципальный орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными;
пользователь — совершеннолетнее и / или дееспособное физическое лицо, зарегистрированное
на Сервисах Общества согласно условиям пользовательского соглашения,
использующее Сервисы Общества в информационных целях, а также в целях
резервирования товаров с использованием функциональных возможностей Сервисов;
посетитель — физическое лицо, не прошедшее процедуру регистрации на Сервисах Общества,
но при этом использующее интернет-ресурсы Общества для просмотра информации.
Программа лояльности не распространяется на Посетителей.
продавец — юридическое лицо (либо индивидуальный предприниматель), обладающее
необходимой правоспособностью и дееспособностью, а также соответствующей
лицензией на фармацевтическую деятельность, с которым у Общества заключен
соответствующий договор; сервис — интернет-ресурс,
принадлежащий на праве собственности Обществу, размещенный на сайте в сети
«Интернет» по адресу www.snovazdorovo.ru (далее
по тексту — Сайт), включая все уровни указанного домена, доступный Пользователю
через Сайт, мобильную версию Сайта, приложения и иные ресурсы, представляющий
собой базу данных о Продавцах и товарах, который имеет инструментарий для
резервирования Пользователем выбранных товаров у доступных Продавцов;
обработка персональных данных - любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
блокирование, удаление, уничтожение персональных данных; автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному
кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному
лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением
случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить
содержание персональных данных в информационной системе персональных данных и
(или) в результате которых уничтожаются материальные носители персональных
данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и
обеспечивающих их обработку информационных технологий и технических средств.
конфиденциальность
информации – обязательное для выполнения лицом, получившим доступ
к определенной информации, требование не передавать такую информацию третьим
лицам без согласия ее обладателя;
угрозы безопасности
персональных данных – совокупность условий и факторов, создающих
опасность несанкционированного, в том числе случайного, доступа к персональным
данным, результатом которого могут стать уничтожение, изменение, блокирование,
копирование, предоставление, распространение персональных данных, а также иные
неправомерные действия при их обработке в информационной системе персональных
данных;
уровень защищенности
персональных данных – комплексный показатель, характеризующий
требования, исполнение которых обеспечивает нейтрализацию определенных угроз
безопасности персональных данных при их обработке в информационных системах
персональных данных; сookie – набор данных,
отправляемый веб-сервером и хранимый на компьютере Пользователя без
изменений и какой-либо обработки.
1.6. Основные права и обязанности Оператора.
1.6.1. Общество как оператор персональных данных вправе:
— отстаивать свои интересы в суде;
— предоставлять персональные данные субъектов персональных данных третьим
лицам, если это предусмотрено законодательством Российской Федерации
(налоговые, правоохранительные органы и др.);
— отказывать в предоставлении персональных данных в случаях,
предусмотренных законодательством Российской Федерации;
— использовать персональные данные субъектов персональных данных без их
согласия в случаях, предусмотренных законодательством Российской Федерации
1.6.2. Общество как оператор персональных данных обязано:
— предоставлять субъекту персональных данных по его просьбе информацию,
предусмотренную ч. 7 ст. 14 Федерального закона от 27 июля 2006 года № 152-ФЗ
«О персональных данных»;
— разъяснять субъекту персональных данных юридические последствия его
отказа в предоставлении Обществу его персональных данных при условии, что такое
предоставление субъектом персональных данных своих персональных данных Обществу
является обязательным в соответствии с Федеральным законом;
— в случае получения персональных данных не от субъекта персональных
данных, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона
от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки
таких персональных данных предоставлять субъекту персональных данных следующую
информацию: наименование или имя, фамилию, отчество и адрес оператора или его
представителя; цель обработки персональных данных и ее правовое основание;
перечень предполагаемых пользователей персональных данных; установленные
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» права
субъекта персональных данных; источник получения персональных данных;
— при сборе персональных данных субъектов персональных данных, в том числе
посредством сети «Интернет», обеспечивать запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение персональных данных
субъектов персональных данных с использованием баз данных, находящихся на
территории Российской Федерации, за исключением случаев, указанных в п. 2, 3,
4, 8 ч. 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О
персональных данных».
1.6.3. Общество предпринимает разумные меры для поддержания точности и
актуальности имеющихся персональных данных, а также удаления персональных
данных субъектов персональных данных в случаях, если они являются устаревшими,
недостоверными или излишними, либо если достигнуты цели их обработки.
1.7. Субъект персональных данных имеет право:
— на отзыв согласия на обработку персональных данных;
— требовать уточнения своих персональных данных, их блокирования или
уничтожения в случае, если персональные данные являются неполными, устаревшими,
недостоверными, незаконно полученными или не являются необходимыми для
заявленной цели обработки, а также принимать предусмотренные законом меры по
защите своих прав;
— требовать перечень своих персональных данных, обрабатываемых в Обществе,
и источник их получения;
— получать информацию о сроках обработки своих персональных данных, в том числе
о сроках их хранения;
— требовать извещения всех лиц, которым ранее были сообщены неверные или
неполные его персональные данные, обо всех произведенных в них исключениях,
исправлениях или дополнениях;
— обжаловать в уполномоченном органе по защите прав субъектов персональных
данных или в судебном порядке неправомерные действия или бездействие при
обработке его персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение
убытков и \ или компенсацию морального вреда в судебном порядке.
1.7.1. Субъекты персональных данных несут ответственность за предоставление
Обществу достоверных сведений, а также за своевременное обновление
предоставленных данных в случае каких-либо изменений.
1.8. Общество может собирать техническую информацию, когда Пользователь \
Посетитель Сайта посещает Сайт или использует мобильные приложения и услуги
Общества. Сюда входит информация: IP-адрес, тип используемого мобильного
устройства, операционная система устройства и тип браузера, уникальный идентификатор
устройства, адрес ссылающихся веб-сайтов, путь, по которому Пользователь \
Посетитель Сайта проходит через веб-сайты и мобильные приложения Общества.
Общество может также использовать такие технологии как файлы cookie, веб-маяки
и идентификаторы мобильных устройств для сбора информации об использовании
веб-сайтов и мобильных сервисов Общества.
1.9. Файлы cookie позволяют Обществу предоставлять Пользователям \
Посетителям Сайта соответствующую информацию по мере использования ими
веб-сайтов и мобильных сервисов Общества (например, открывать и загружать
соответствующие страницы).
1.10. Общество использует данную информацию для обеспечения
работоспособности своих веб-сайтов и мобильных приложений, для повышения
качества оказываемых услуг, исправления ошибок и улучшения пользовательского
опыта в целом. При этом Общество не преследует цели идентифицировать
конкретного Пользователя \ Посетителя Сайта.
1.11. Контроль за исполнением требований настоящей Политики осуществляется
уполномоченным лицом, ответственным за организацию обработки персональных
данных у Оператора.
1.12. Ответственность за нарушение требований законодательства Российской
Федерации и нормативных актов ООО "Надежда-Фарм" в сфере обработки и
защиты персональных данных определяется в соответствии с законодательством
Российской Федерации.
2. Категории обрабатываемых персональных данных,
категории субъектов персональных данных
2.1. Содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям обработки. Обрабатываемые персональные данные
не должны быть избыточными по отношению к заявленным целям их обработки.
2.2. Субъектами персональных данных, обработка которых осуществляется
Обществом в Сервисах, являются:
пользователи Сайта;
посетители Сайта;
работники;
родственники работников;
уволенные работники;
родственники уволенных работников;
контрагенты;
представители контрагентов.
2.3. Обработка Оператором биометрических персональных данных сотрудников
(сведений, которые характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность) осуществляется в
соответствии с законодательством Российской Федерации.
2.4. Оператором не осуществляется обработка специальных категорий
персональных данных, касающихся расовой, национальной принадлежности,
политических взглядов, религиозных или философских убеждений, состояния
здоровья, интимной жизни, за исключением случаев, предусмотренных
законодательством РФ.
2.5. Общество
вправе, с соблюдением положений действующего законодательства Российской
Федерации, передавать персональные данные субъектов третьим лицам.
2.6. К перечню третьих лиц, которым передаются
персональные данные с целью их обработки, в соответствии с
пунктом 3.2. относятся:
Наименование третьего лица
Категории и перечень персональных
данных
Категории субъектов персональных данных
АО «Согаз» (ОГРН 1027739820921, адрес:
107078, г. Москва, пр-кт Академика Сахарова, д. 10)
имя,
фамилия, отчество, год рождения, месяц рождения, дата рождения, место
рождения, пол, гражданство, адрес
места жительства, адрес регистрации, номер телефона, данные документа удостоверяющего
личность, сведения о трудовой деятельности
сотрудники
АО «Альфа-банк» (ОГРН 1027700067328, адрес:
107078, Москва, ул. Каланчевская, 27)
имя,
фамилия, отчество, год рождения, месяц рождения, дата рождения, место
рождения, пол, гражданство, адрес
места жительства, адрес регистрации, номер телефона, данные документа
удостоверяющего личность, сведения о трудовой деятельности
сотрудники
ПАО «Сбербанк» (ОГРН 1027700132195, адрес: г.
Москва, ул. Вавилова, 19)
имя,
фамилия, отчество, год рождения, месяц рождения, дата рождения, место
рождения, пол, гражданство, адрес
места жительства, адрес регистрации, номер телефона, данные документа
удостоверяющего личность, сведения о трудовой деятельности
сотрудники
партнерские пункты (аптечные пункты) Продавца ООО
«Сакура», указанные в разделе «Самовывоз из аптек»
Имя,
фамилия, отчество, реквизиты заказа (информация о совершенном клиентом
физического лица в Сервисах Общества заказе товаров, в том числе, но не
ограничиваясь, номер, дата, время формирования / исполнения, сумма заказа,
информация о применении скидок к заказу, срок исполнения, информация об
обращениях (включая претензионные), иная информация, включая любую фискальную
информацию по заказу)
пользователи
Министерство
здравоохранения Российской Федерации (Единая
государственная информационная система в сфере здравоохранения)
имя, фамилия, отчество, год рождения, месяц
рождения, дата рождения, место рождения, пол, гражданство, СНИЛС, ИНН, адрес места жительства, адрес регистрации,
номер телефона, адрес электронной почты, данные документа удостоверяющего
личность, профессия, должность, отношение к воинской обязанности, сведения о
трудовой деятельности, сведения об образовании
сотрудники
ФГБОУ ВО ДВГМУ Минздрава России (ОГРН
1032700296078, адрес: 680000, г. Хабаровск, ул. Муравьева-Амурского, 35)
имя, фамилия, отчество, год рождения, месяц
рождения, дата рождения, пол, гражданство, номер телефона, профессия, должность, сведения о трудовой
деятельности, сведения об образовании
сотрудники
Провайдер услуг веб-аналитики (Яндекс.Метрика)
ООО «Яндекс» (119021, Россия, Москва, ул. Льва
Толстого, д. 16)
Техническая информация:
IP-адрес, тип устройства,
операционная система, браузер.
Информация о визитах:
Время на сайте, глубина
просмотра, количество страниц, открытых одним пользователем, и страницы
выхода.
Источники трафика:
Откуда пришли посетители
(например, через поисковые системы, рекламу).
Поведение пользователей на
сайте:
Какие страницы посещают, какой
контент наиболее популярен.
Категории субъектов, обрабатываемых с помощью
«Яндекс.Метрики»:
Посетители сайта:
Люди, заходящие на сайт, для
анализа их поведения и интересов.
Пользователи мобильных
приложений:
Аналогично посетителям сайта,
для анализа их поведения и активности.
пользователи
посетители
сайта
3. Цели обработки персональных данных.
3.1. Обработка персональных данных ограничивается достижением конкретных,
заранее определенных и законных целей. Не допускается обработка персональных
данных, несовместимая с целями сбора персональных данных.
3.2. Обработка Оператором персональных данных осуществляется в следующих целях:
3.2.1.
Ведение кадрового и
бухгалтерского учета, обеспечение соблюдения трудового, налогового, пенсионного
и страхового законодательства. Содействие работникам в их обучении и
должностном росте; учет результатов исполнения ими должностных обязанностей;
обеспечение личной безопасности, условий труда, гарантий и компенсаций, а также
в целях противодействия коррупции. Предоставление информации по запросам
государственных органов. Осуществление командирования людей. Исполнение иных
договорных обязательств и соглашений, при которых необходимо использование
персональных данных работника.
Категории и перечень персональных данных: фамилия, имя, отчество, год рождения, месяц рождения,
дата рождения, место рождения, семейное положение, доходы, пол, адрес
электронной почты, адрес места жительства, адрес регистрации, номер телефона,
СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, номер
расчетного счета, номер лицевого счета, реквизиты банковской карты, профессия,
должность, отношение к воинской обязанности, сведения о воинском учете,
сведения состоянии здоровья, социальное положение, имущественное положение,
образование (когда и какие образовательные учреждения закончил, номера дипломов,
направление подготовки или специальность по диплому, квалификация по диплому),
послевузовское профессиональное образование (наименование образовательного или
научного учреждения, год окончания), ученая степень, ученое звание (когда
присвоены, номера дипломов, аттестатов), выполняемая работа с начала трудовой
деятельности (включая военную службу, работу по совместительству,
предпринимательскую деятельность и т.п.), сведения о трудовом договоре (номер
трудового договора, дата его заключения, дата начала и окончания договора, вид
работы, срок трудового договора, наличие испытательного срока, режим труда,
длительность основного отпуска, длительность дополнительного отпуска,
обязанности работника, дополнительные социальные льготы и гарантии, номер и
число изменения к трудовому договору, характер работы, форма оплаты, условия
труда, продолжительность рабочей недели, система оплаты), сведения об
аттестации работника, сведения о повышении квалификации, информация о приеме на
работу, перемещение по должности, увольнении, сведения об отпусках, сведения о
командировках, сведения о листках нетрудоспособности работников, табельный
номер, копия свидетельства об окончании курсов, информация о смене фамилии,
сведения о социальных льготах, на которые сотрудник имеет право в соответствие
с законодательством (наименование льготы, номер и дата выдачи документа), ФИО,
возраст родственников, за которыми осуществляется уход, ФИО родственников, с
которыми закон или внутренние акты ООО «Надежда-Фарм» связывают дополнительные
гарантии и компенсации, в том числе, но не ограничиваясь этим, дополнительные отпуска без сохранения заработной
платы, получение материальной помощи, режим труда, заявление о выборе формы ведения
трудовой книжки, страховой стаж, отметки о явках и неявках на работу по числам
месяца, количество неявок, причины неявок, количество отработанных часов за
месяц, неделю, количество выходных и праздничных дней, серия и номер трудовой
книжки, вкладыша, основание прекращения (расторжения) трудового договора
(увольнения), причина увольнения, дата увольнения, номер и дата приказа,
свидетельство о регистрации по месту пребывания, свидетельство о заключении
брака, свидетельство рождении, свидетельство о смене фамилии, данные
водительского удостоверения, информация, содержащаяся в трудовом договоре,
дополнительных соглашениях к трудовому договору, копии документов, содержащие
персональные данные (дипломы об окончании образовательных учреждений,
сертификаты, удостоверения о повышении квалификации, дипломы о профессиональной
переподготовке, паспорта, ИНН, СНИЛС), справка 2 НДФЛ, данные о детях,
стандартные, социальные и имущественные вычеты, статус налогоплательщика, иная
информация, которую желает сообщить о себе работник, а также иные персональные
данные, соответствующие заявленным целям обработки.
Категории субъектов, персональные данные которых обрабатываются: работники, родственники работников, уволенные
работники, родственники уволенных работников.
Правовые основания обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных, обработка
персональных данных необходима для целей, предусмотренных законом, для
осуществления и выполнения возложенных законодательством Российской Федерации
на оператора функций, полномочий,
обязанностей.
Иные: ст. ст. 23, 24 Конституции
Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс
Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон
от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Трудовой договор, Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах
с ограниченной ответственностью», Постановление Правительства РФ 687 от
15.09.2008 «Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации», Постановление
Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах персональных
данных», Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в
Российской Федерации», Указ Президента Российской Федерации от 06.03.1997 г №
188 «Об утверждении перечня сведений конфиденциального характера», Федеральный
закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», Федеральный закон от
28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе», Федеральный закон
от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской
Федерации», Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном
персонифицированном учете в системе обязательного пенсионного страхования»,
Федеральный закон РФ от 15.12.2001 «Об обязательном пенсионном страховании»,
Федеральный закон РФ от 15.12.2001 № 166-ФЗ «О государственном пенсионном
обеспечении в Российской Федерации».
Способ обработки: смешанная,
с передачей по сети юридического лица, с передачей по сети интернет.
Сроки обработки: обработка персональных
данных осуществляется до момента прекращения трудовых отношений с работником.
Срок хранения персональных данных:
Трудовые договоры,
служебные контракты, соглашения об их изменении,
расторжении хранятся 50/75 лет (Ст. 435 перечня, утв. приказом Росархива от
20.12.2019 № 236).
Личные карточки
и личные дела работников, в том числе руководителей — 50/75 лет (Ст. 444, 445 перечня, утв.
приказом Росархива от 20.12.2019 № 236).
Лицевые счета работников,
карточки-справки по заработной плате хранятся
50 лет (Ст. 296 перечня, утв. приказом
Росархива от 20.12.2019 № 236).
Приказы,
распоряжения по личному составу, документы о приеме, переводе, перемещении,
ротации, совмещении, совместительстве, увольнении, оплате труда, аттестации,
повышении квалификации, присвоении классных иинов, разрядов, званий, поощрении,
награждении, об изменении анкетно-биографических данных, отпусках по уходу
за ребенком, отпусках без сохранения зарплаты
— хранятся 50/75 лет (Ст. 434 перечня,
утв. приказом Росархива).
Документы о ежегодно
оплачиваемых отпусках, отпускаю в связи с
обучением, дежурствах, не связанных с основной (профильной) деятельностью; о служебных проверках; о
направлении в командировку работников
хранятся 5 лет по общему правилу, 5 лет, если документ
необходим для расчета и уплаты налога, документы об отпусках, командировках работников с вредными и
(или) опасными условиями труда хранятся 50
лет (Ст. 434 перечня, утв. приказом Росархива от 20.12.2019 № 236, подп. 8 п. 1
ст. 23 HK, подп. 5 п. 3 ст. 24 HK).
Документы
о дисциплинарных взысканиях хранятся 3 года (Ст. 434 перечня, утв. приказом
Росархива от 20.12.2019 № 236).
Документы о привлечении работников к работе в выходные и нерабочие праздничные дни хранится 5 лет (в том числе как документ, необходимый для расчета
и уплаты налогов) (Ст. 434 перечня, утв. приказом Росархива от 20.12.2019 №
236, Приказ Росархива от 21.09.2020 № P/T-1279,
подп. 8 п. 1 ст. 23 HK, подп. 5 п.
3 ст. 24 HK).
Табели, графики, журналы учета
рабочего времени хранятся 5 лет в том числе как документ, необходимый для
расчета и уплаты налогов (Ст. 402 перечня, утв. приказом Росархива
от 20.12.2019 № 236, подп. 8 п. 1 ст. 23 HK, подп.
5 п. 3 ст. 24 HK).
Правила трудового распорядка
хранятся 1 год после замены их новыми (Ст. 381 перечня, утв. приказом Росархива
от 20.12.2019 № 236).
Графики отпусков хранятся 3
года (Ст. 453 перечня, утв. приказом Росархива от 20.12.2019 № 236).
Штатные расписания и
изменения к ним — по месту разработки или утверждения хранятся Постоянно, но не
менее 10 лет, — в других организациях хранятся 3 года после замены новыми (Ст.
40 перечня, утв. приказом Росархива от 20.12.2019 № 236).
Подлинные личные документы
сотрудников: трудовые книжки, дипломы, аттестаты, удостоверения и др. хранятся
— до востребования, Невостребованные — 50/75 лет (Ст. 449 перечня, утв.
приказом Росархива от 20.12.2019 No 236). Отчеты работников о командировках — 5
лет при условии проверки экспертно — проверочной комиссией, 5 лет, если
документы необходимы для расчета и уплаты налогов (Ст. 452 перечня, утв.
приказом Росархива от 20.12.2019 № 236, подп. 8 п. 1 ст. 23 HK).
Документы о несчастных
случаях на производстве - по месту составления — 45 лет, постоянно, но не менее
10 лет — при крупном материальном ущербе или человеческих жертвах, в других
организация — 5 лет ч. 6 ст. 230, ч. 2 ст. 230.1 TK, стр. 425 перечня, утв.
приказом Росархива от 20.12.2019 № 236).
Согласие на обработку
персональных данных - 3 года после истечения срока действия согласия или его
отзыва, если иное не предусмотрено федеральным законом или договором (Стр. 441
перечня, утв. приказом Росархива от 20.12.2019 № 236).
Порядок уничтожения персональных
данных при достижении целей обработки или при наступлении иных законные
оснований:
Ответственным за
документооборот и архивирование в Обществе осуществляется систематический
контроль и выделение документов, содержащих персональные данные, с истекшими
сроками хранения, подлежащих уничтожению.
Вопрос об уничтожении
выделенных документов, содержащих персональные данные, рассматривается на
заседании комиссии Общества, состав которой утверждается приказом Общества.
По итогам заседания
составляются протокол и Акт о выделении к уничтожению документов, опись
уничтожаемых дел, проверяется их комплектность, акт подписывается председателем
и членами комиссии Общества и утверждается Генеральным директором.
Обществом в порядке,
установленном законодательством Российской Федерации, определяется подрядная
организация, имеющая необходимую производственную базу для обеспечения
установленного порядка уничтожения документов.
Ответственное лицо Общества,
ответственное за архивную деятельность, сопровождает документы, содержащие
персональные данные, до производственной базы подрядчика и присутствует при
процедуре уничтожения документов (сжигание или химическое уничтожение).
По окончании процедуры
уничтожения подрядчиком и ответственным лицом Общества, ответственным за
архивную деятельность, составляется соответствующий Акт об уничтожении
документов, содержащих персональные данные.
Либо документы уничтожаются
путем сожжения, расплавления, дробления, растворения, химического разложения,
превращения в мягкую бесформенную массу или порошок. Допускается уничтожение
документов путем измельчения в бумажную сечку посредством шредера.
По окончании процедуры
уничтожения ответственным лицом Общества, ответственным за архивную
деятельность, составляется соответствующий Акт об уничтожении документов,
содержащих персональные данные.
Уничтожение по окончании
срока обработки персональных данных на электронных носителях производится путем
механического нарушения целостности носителя, не позволяющего произвести
считывание или восстановление персональных данных, или удалением с электронных
носителей методами и средствами гарантированного удаления остаточной
информации.
Срок уничтожения: персональные данные должны
быть уничтожены в течение 30 дней после окончания срока хранения.
3.2.2.
Подбор персонала
(соискателей) на вакантные должности оператора
Категории и перечень персональных данных: фамилия, имя, отчество, год рождения, месяц
рождения, дата рождения, место рождения, семейное положение, пол, номер
телефона, адрес электронной почты, гражданство, анкета соискателя, документы
подтверждающие квалификацию и иные документы и сведения, которые соискатель
самостоятельно предоставил оператору.
Категории субъектов, персональные данные которые обрабатываются: Соискатели.
Правовые основания обработки персональных данных: обработка персональных данных осуществляется с
согласия субъекта персональных данных на обработку его персональных данных.
Способ обработки: смешанная,
с передачей по сети юридического лица, без передачи по сети интернет.
Сроки обработки, хранения и уничтожения: для
кандидатов, не принятых на работу, данные должны быть уничтожены в течение 30
дней после достижения цели обработки, если иное не предусмотрено
законодательством. Для кандидатов, принятых на работу, обработка
продолжается в рамках трудового законодательства.
Порядок
уничтожения персональных данных при достижении целей обработки или при
наступлении иных законные оснований: согласно
п. 3.2.1 Политики.
3.2.3.
В целях подготовки,
заключения и исполнения гражданских, гражданско-правовых договоров.
Категории и перечень персональных данных: фамилия, имя, отчество, год рождения, месяц
рождения, дата рождения, место рождения, данные документа, удостоверяющего
личность, адрес места жительства, адрес регистрации, адрес электронной почты,
номер телефона, пол, гражданство,
Иные: данные содержащиеся в
договоре, номер расчетного счета, а так же иные категории персональных данных
необходимые для заявленной цели (ИНН, ЕГРНИП)
Категории субъектов, персональные данные которые обрабатываются: контрагенты, клиенты, законные представители
контрагентов.
Правовые основания обработки персональных данных: обработка
персональных данных осуществляется с согласия субъекта персональных данных на
обработку его персональных данных, обработка персональных данных необходима для
достижения целей, предусмотренных законом, для осуществления и выполнения
возложенных законодательством Российской Федерации на оператора функций,
полномочий и обязанностей, обработка персональных данных необходима для
исполнения договора, стороной которого либо выгодоприобретателем или
поручителем по которому является субъект персональных данных, а также для
заключения договора по инициативе субъекта персональных данных или договора, по
которому субъект персональных данных будет являться выгодоприобретателем или
поручителем. Заключаемый с субъектом персональных данных договор не может
содержать положения, ограничивающие права и свободы субъекта персональных
данных, устанавливающие случаи обработки персональных данных несовершеннолетних,
если иное не предусмотрено законодательством Российской Федерации, а также
положения, допускающие в качестве условия заключения договора бездействие
субъекта персональных данных.
Способ обработки: смешанная,
с передачей по сети юридического лица, с передачей по сети интернет.
Сроки обработки: обработка персональных
данных осуществляется до момента расторжения гражданского, гражданско-правового
договора.
Срок хранения: 3 (три) года с момента
расторжения договора.
Срок уничтожения: персональные данные должны
быть уничтожены в течение 30 дней после окончания срока хранения.
Порядок
уничтожения персональных данных при достижении целей обработки или при
наступлении иных законные оснований: согласно
п. 3.2.1 Политики.
3.2.4. В целях рассмотрения обращений
граждан.
Категории и перечень персональных данных: фамилия,
имя, отчество, дата рождения, год рождения, месяц рождения, место рождения,
данные документа удостоверяющего личность, адрес места жительства, адрес
регистрации, адрес электронной почты, номер телефона, суть обращения,
информация, содержащаяся в обращении, документы, приложенные к обращению, а
также сведения, которые заявитель самостоятельно указал в тексте обращения.
Категории субъектов,
персональные данные которые обрабатываются: заявители,
представители юридических, физических лиц и государственных учреждений,
пользователи сайта, законные представители заявителей.
Правовые основания
обработки персональных данных: обработка персональных
данных осуществляется с согласия субъекта персональных данных на обработку его
персональных данных, обработка персональных данных необходима для достижения
целей, предусмотренных законом, для осуществления и выполнения возложенных
законодательством Российской Федерации на оператора функций, полномочий и
обязанностей.
Способ обработки:
смешанная, с передачей по сети юридического лица, с передачей по сети интернет.
Сроки обработки: обработка персональных
данных осуществляется до момента рассмотрения обращения, но не более 30
календарных дней с момента поступления обращения.
Срок хранения: 3 (три) года с момента получения
обращения.
Срок уничтожения: персональные данные должны быть уничтожены в
течение 30 рабочих дней после окончания срока хранения.
Порядок
уничтожения персональных данных при достижении целей обработки или при
наступлении иных законные оснований: согласно
п. 3.2.1 Политики.
3.2.5. В целях предоставления доступа
пользователю к сервисам, информации и/или материалам, содержащимся на
официальном сайте, в целях направления сообщения/обращения в форме обратной
связи, в том числе в целях освещения посредством официального сайта, социальных
сетей, мессенджерах информации о деятельности организации, событий, мероприятий,
в целях написания отзыва, в целях осуществления обратного звонка, в целях
создания личного кабинета, в целях оформления заказа.
Категории и перечень персональных данных: Фамилия, имя, отчество,
адрес электронной почты, номер телефона.
Иные:
обезличенные данные о посетителях (в т.ч. файлы «cookie»), которые собираются с помощью
сервисов интернет-статистики (метрики), страна, логин, пароль, суть
обращения/сообщения, информация, содержащаяся в обращении/сообщении, документы,
приложенные к обращению/сообщению, геолокация.
Категории субъектов,
персональные данные которые обрабатываются: заявители,
представители юридических, физических лиц и государственных учреждений,
пользователи/посетители сайта, законные представители заявителей, лица,
обратившиеся с помощью форм обратной связи, работники.
Правовые основания
обработки персональных данных: обработка персональных
данных осуществляется с согласия субъекта персональных данных на обработку его
персональных данных, обработка персональных данных необходима для достижения
целей, предусмотренных законом, для осуществления и выполнения возложенных
законодательством Российской Федерации на оператора функций, полномочий и
обязанностей.
Способ обработки:
смешанная, с передачей по сети юридического лица, с передачей по сети интернет.
Срок хранения: в течение всего периода использования Сайта и до
момента получения заявки субъекта персональных данных.
Срок уничтожения: 10 рабочих дней с момента обращения субъекта персональных данных.
«Яндекс.Метрика» обрабатывает
техническую информацию о посетителях сайта и их поведении, включая IP-адрес, данные
о браузере и устройстве, а также параметры визитов (глубина просмотра, время на
сайте, источник трафика). Метрика не собирает напрямую личные данные,
такие как ФИО или электронная почта, если они не передаются пользователем
добровольно через формы на сайте, а лишь анализирует обезличенное поведение
пользователей и посетителей.
Что собирает «Яндекс.Метрика»:
·
Техническая информация:
IP-адрес, тип
устройства, операционная система, браузер.
·
Информация о визитах:
Время на сайте,
глубина просмотра, количество страниц, открытых одним пользователем, и страницы
выхода.
·
Источники трафика:
Откуда пришли
посетители (например, через поисковые системы, рекламу).
·
Поведение пользователей на сайте:
Какие страницы
посещают, какой контент наиболее популярен.
Категории субъектов, обрабатываемых с
помощью «Яндекс.Метрики»:
·
Посетители сайта:
Люди, заходящие на
сайт, для анализа их поведения и интересов.
·
Пользователи мобильных приложений:
Аналогично
посетителям сайта, для анализа их поведения и активности.
4. Сведения о
реализуемых требованиях к защите персональных данных.
В соответствии с действующим законодательством
ООО «Надежда-Фарм» принимает необходимые правовые, организационные и
технические меры для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, распространения
и других несанкционированных действий, в том числе:
·
организует режим обеспечения
безопасности помещений, в которых размещена информационная система, препятствующий
возможности неконтролируемого проникновения или пребывания в этих помещениях
лиц, не имеющих права доступа в эти помещения;
·
обеспечивает сохранность
носителей персональных данных;
·
определяет перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной системе,
необходим для выполнения ими служебных (трудовых) обязанностей;
·
использует средства защиты
информации, прошедшие процедуру оценки соответствия требованиям
законодательства Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо для
нейтрализации актуальных угроз;
·
определяет угрозы
безопасности персональных данных при их обработке;
·
принимает локальные
нормативные акты и иные документы, регулирующие отношения в сфере обработки и
защиты персональных данных;
·
назначает лицо,
ответственное за обработку и обеспечение безопасности персональных данных в
информационных системах Оператора;
·
создает необходимые условия
для работы с персональными данными;
·
устанавливает защиту от
несанкционированного доступа к автоматизированным рабочим местам,
информационным сетям и базам персональных данных;
·
организует учет материальных
носителей персональных данных и информационных систем, в которых обрабатываются
персональные данные;
·
хранит персональные данные в
условиях, при которых обеспечивается их сохранность и исключается неправомерный
доступ к ним;
·
определяет перечень
персональных данных, к которым имеют доступ работники, осуществляющие обработку
персональных данных;
·
утверждает форму согласия на
обработку персональных данных;
·
определяет порядок защиты
персональных данных при их обработке в информационных системах;
·
осуществляет внутренний
контроль соответствия обработки персональных данных требованиям к защите
персональных данных, проводит внутренние расследования, проверки;
·
осуществляет оценку вреда,
который может быть причинен субъектам персональных данных;
·
ограничивает обработку
персональных данных достижением конкретных, заранее определенных и законных
целей;
·
осуществляет обработку
персональных данных в соответствии с принципами и условиями обработки
персональных данных, установленными законодательством в области персональных
данных;
·
обеспечивает недопустимость
осуществления обработки персональных данных, не совместимых с целями сбора
персональных данных;
·
обеспечивает недопустимость
осуществления объединения баз данных, содержащих персональные данные, обработка
которых осуществляется в целях, не совместимых между собой;
·
обеспечивает соответствие содержания
и объема обрабатываемых персональных данных заявленным целям обработки,
обрабатываемые персональные данные не должны быть избыточными по отношению к
заявленным целям их обработки;
·
обеспечивает при обработке
персональных данных точность персональных данных, их достаточность и
актуальность по отношению к целям обработки персональных данных;
·
организует ознакомление
работников Оператора (при их наличии), осуществляющих обработку персональных
данных, с требованиями законодательства и локальных нормативных актов по
вопросам обработки персональных данных.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии
с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов
персональных данных на обработку их персональных данных, а также без такового в
случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных для каждой цели их
обработки следующими способами:
автоматизированная обработка персональных данных
с передачей полученной информации по информационно-телекоммуникационным
сетям или без таковой;
смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в
должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п.
3.2 Политики, осуществляется путем:
·
получения персональных данных в устной и письменной
форме непосредственно от субъектов персональных данных;
·
внесения персональных данных в журналы, реестры и
информационные системы Оператора;
·
использования иных способов обработки персональных
данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных
данных без согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом.
5.7. Передача персональных данных органам дознания и следствия, в
Федеральную налоговую службу, Социальный фонд России и другие уполномоченные
органы исполнительной власти и организации осуществляется в соответствии с
требованиями законодательства Российской Федерации.
5.8. Оператор осуществляет хранение персональных данных в форме,
позволяющей определить субъекта персональных данных, не дольше, чем этого
требует каждая цель обработки персональных данных, если срок хранения
персональных данных не установлен федеральным законом, договором.
5.12. При обращении субъекта персональных данных к Оператору с требованием
о прекращении обработки персональных данных в срок, не превышающий 10 рабочих
дней с даты получения Оператором соответствующего требования, обработка
персональных данных прекращается, за исключением случаев, предусмотренных
Законом о персональных данных. Указанный срок может быть продлен, но не более
чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту
персональных данных мотивированное уведомление с указанием причин продления
срока.
персональных данных, ответы на запросы субъектов на
доступ
к персональным данным
6.1. Подтверждение факта обработки персональных данных Оператором, правовые
основания и цели обработки персональных данных, а также иные сведения,
указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются
Оператором субъекту персональных данных или его представителю в течение 10
рабочих дней с момента обращения либо получения запроса субъекта персональных
данных или его представителя. Данный срок может быть продлен, но не более чем
на пять рабочих дней. Для этого Оператору следует направить субъекту
персональных данных мотивированное уведомление с указанием причин продления
срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к
другим субъектам персональных данных, за исключением случаев, когда имеются
законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
·
номер основного документа, удостоверяющего личность
субъекта персональных данных или его представителя, сведения о дате выдачи
указанного документа и выдавшем его органе;
·
сведения, подтверждающие участие субъекта персональных
данных в отношениях с Оператором (номер договора, дата заключения договора,
условное словесное обозначение и (или) иные сведения), либо сведения, иным
образом подтверждающие факт обработки персональных данных Оператором;
·
подпись субъекта персональных данных или его
представителя.
Запрос может быть направлен в форме электронного документа и подписан
электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о
персональных данных, субъекту персональных данных или его представителю в той
форме, в которой направлены соответствующие обращение либо запрос, если иное не
указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в
соответствии с требованиями Закона о персональных данных все необходимые
сведения или субъект не обладает правами доступа к запрашиваемой информации, то
ему направляется мотивированный отказ.
6.2. В случае выявления неточных персональных данных при обращении субъекта
персональных данных или его представителя либо по их запросу или по запросу
Роскомнадзора Оператор осуществляет блокирование персональных данных,
относящихся к этому субъекту персональных данных, с момента такого обращения
или получения указанного запроса на период проверки, если блокирование
персональных данных не нарушает права и законные интересы субъекта персональных
данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на
основании сведений, представленных субъектом персональных данных или его
представителем либо Роскомнадзором, или иных необходимых документов уточняет
персональные данные в течение семи рабочих дней со дня представления таких
сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при
обращении (запросе) субъекта персональных данных или его представителя либо
Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых
персональных данных, относящихся к этому субъекту персональных данных, с
момента такого обращения или получения запроса.
6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным
лицом факта неправомерной или случайной передачи (предоставления,
распространения) персональных данных (доступа к персональным данным), повлекшей
нарушение прав субъектов персональных данных, Оператор:
·
в течение 24 часов - уведомляет Роскомнадзор о
произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав
субъектов персональных данных, предполагаемом вреде, нанесенном правам
субъектов персональных данных, и принятых мерах по устранению последствий
инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на
взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
·
в течение 72 часов - уведомляет Роскомнадзор о
результатах внутреннего расследования выявленного инцидента и предоставляет
сведения о лицах, действия которых стали его причиной (при наличии).
7. Обратная связь
7.1. Если субъект персональных данных хочет узнать, какими персональными
данными о нем располагает Общество, либо дополнить, исправить, обезличить или
удалить любые неполные, неточные или устаревшие персональные данные, либо хочет
прекращения обработки Обществом его персональных данных, либо имеет другие
законные требования, он может в установленном порядке и в соответствии с
законодательством Российской Федерации реализовать такое право, обратившись в
Общество.
7.2. При этом в некоторых случаях (например, если субъект персональных
данных хочет удалить свои персональные данные или прекратить их обработку)
такое обращение (запрос) также может означать, что Общество больше не сможет
предоставлять услуги субъекту персональных данных.
7.3. Для выполнения запросов субъекта персональных данных Общество может
потребовать установления личности такого субъекта персональных данных и
запросить дополнительную информацию, подтверждающую его участие в отношениях с
Обществом, либо сведения, иным образом подтверждающие факт обработки
персональных данных Обществом.
7.4. Порядок направления запросов субъектом персональных данных определен
требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных
данных». Субъект персональных данных вправе в любой момент отозвать свое
согласие на обработку своих персональных данных путем направления
соответствующего запроса: на электронный адрес sakura@nf.khv.ru;
на почтовый адрес: 680011, г. Хабаровск, ул. Металлистов д.4.
7.5. Ответ на запрос направляется субъекту персональных данных или его
представителю по тому же каналу (электронная почта, личный кабинет на Сайте и
т. д.), по которому запрос получен, если иное не указано в самом запросе, в
срок, не превышающий 10 (десять) рабочих дней с даты получения запроса.
7.6. Срок на обработку запроса, связанного с реализацией прав субъекта,
может быть продлен Обществом на 5 (пять) рабочих дней. При возникновении такой
необходимости Общество уведомит субъекта персональных данных или его
представителя, указав причины продления срока.
7.7. При отказе в запросе субъекту направляется мотивированный ответ,
содержащий ссылку на положения ч. 8 ст. 14 Федерального закона от 27 июля 2006
года № 152-ФЗ «О персональных данных» или иного Федерального закона,
являющегося основанием для такого отказа, в срок, не превышающий 10 (десять)
рабочих дней со дня обращения субъекта персональных данных или его
представителя, либо с даты получения Обществом запроса субъекта персональных данных
или его представителя.
8. Заключительные положения
8.1. Настоящая Политика является внутренним документом Общества и вступает
в силу с момента ее
утверждения Генеральным директором Общества, а также является общедоступной и
подлежит размещению (опубликованию) на web-ресурсе Общества с доменным
именем snovazdorovo.ru.
8.2. Общество имеет право вносить изменения в настоящую Политику.
Изменения, вносимые в настоящую Политику, вступают в силу со дня их
утверждения, если иное не установлено самими изменениями.
8.3. Действующая редакция настоящей Политики на бумажном носителе хранится
в месте нахождения Общества по адресу: 680011, г. Хабаровск, ул. Металлистов
д.4.
8.4. Общество рекомендует субъектам персональных данных регулярно
обращаться к настоящей Политике с целью ознакомления с наиболее актуальной
редакцией.
