1. Общие положения

1.1. Назначение политики

Настоящая Политика обработки персональных данных Государственного унитарного предприятия Краснодарского Края «Кубаньфармация» (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных Государственного унитарного предприятия Краснодарского Края «Кубаньфармация» (далее – Предприятие). Предприятие является оператором персональных данных. Политика является общедоступным документом Предприятие и предусматривает возможность ознакомления с ней любых лиц.

1.2. Основные понятия

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий, и технических средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Основные права Предприятия

Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) на основании согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ.

Предприятие оставляет за собой право проверить полноту и точность предоставленных персональных данных (далее также – ПДн), их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В случае выявления ошибочных или неполных ПДн, Предприятие имеет право прекратить все отношения с субъектом ПДн.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Предприятие.

Предприятие могут быть получены ПДн от лица, не являющегося субъектом ПДн, при условии предоставления Предприятие подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн, Предприятие вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

Предприятие вправе поручить обработку ПДн третьим лицам с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом соглашения (договора), в том числе государственного или муниципального контракта, либо путём принятия государственным или муниципальным органом соответствующего акта (далее – поручение Предприятие). Лицо, осуществляющее обработку ПДн по поручению Предприятие, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ. В поручении Предприятие должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьёй 18.1 Федерального закона № 152-ФЗ, обязанность по запросу Предприятие в течение срока действия поручения Предприятие, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Предприятие требований, установленных в соответствии с Федеральным законом № 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьёй 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении Предприятие о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ.

Лицо, осуществляющее обработку ПДн по поручению Предприятие, не обязано получать согласие субъекта ПДн на обработку его ПДн.

В случаях, когда Предприятие поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несёт Предприятие. Лицо, осуществляющее обработку ПДн по поручению Предприятие, несёт ответственность перед Предприятие.

В случае, если Предприятие поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несёт Предприятие и лицо, осуществляющее обработку ПДн по поручению Предприятие.

1.4. Основные обязанности Предприятие

Предприятие не собирает, не обрабатывает и не передаёт ПДн субъектов ПДн третьим лицам, без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

В случае выявления неправомерной обработки ПДн, при обращении либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн, Предприятие осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятие) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных ПДн, при обращении либо по запросу субъекта ПДн или его представителя либо по запросу уполномоченного органа по защите прав субъектов ПДн, Предприятие осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятие с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн, Предприятие на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятие) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемой Предприятие или лицом, действующим по поручению Предприятие, Предприятие в срок, не превышающий 3-х рабочих дней с даты этого выявления, осуществляет прекращение неправомерной обработки ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Предприятие.

В случае, если обеспечить правомерность обработки ПДн невозможно, Предприятие в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, осуществляет уничтожение таких ПДн или обеспечивает их уничтожение. Решение о неправомерности обработки ПДн и необходимости уничтожения ПДн принимает ответственный за организацию обработки ПДн Предприятие, который доводит соответствующую информацию до руководства. Об устранении допущенных нарушений или об уничтожении ПДн Предприятие уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом, также указанный орган.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъекта(-ов) ПДн, Предприятие с момента выявления такого инцидента Предприятие, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

1) в течение 24-х часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Предприятие на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

2) в течение 72-х часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае достижения цели обработки ПДн, Предприятие прекращает обработку ПДн или обеспечивает её прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятие) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятие) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Предприятие и субъектом ПДн либо, если Предприятие не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае отзыва субъектом ПДн согласия на обработку его ПДн, Предприятие прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятие) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятие) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Предприятие и субъектом ПДн либо, если Предприятие не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае обращения субъекта ПДн к Предприятие с требованием о прекращении обработки ПДн, Предприятие в срок, не превышающий 10 рабочих дней с даты получения Предприятие соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Предприятие в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Предприятие вносит в них необходимые изменения.

В срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Предприятие уничтожает такие ПДн. При этом Предприятие уведомляет субъекта ПДн или его представителя о внесённых изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

В случае отсутствия возможности уничтожения ПДн в течение срока, указанные выше по тексту, Предприятие осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятие) и обеспечивает уничтожение ПДн в срок, не более, чем 6 месяцев, если иной срок не установлен федеральными законами.

Подтверждение уничтожения ПДн осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн.

1.5. Основные права субъекта ПДн

Субъект ПДн принимает решение о предоставлении своих ПДн и даёт согласие на их обработку свободно, своей волей и в своём интересе. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

В целях обеспечения своих законных интересов, субъекты ПДн или его представители имеют право:

1. получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной);
2. осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ;
3. требовать уточнение своих ПДн, их блокирование или уничтожение, в случаях, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект ПДн при отказе Предприятие исключить или исправить, блокировать или уничтожить его ПДн, имеет право заявить в письменной форме о своём несогласии, обосновав соответствующим образом такое несогласие;
4. требовать от Предприятие уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие, неточные, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки ПДн субъекта, обо всех произведённых в них изменениях или исключениях из них, в том числе блокирование или уничтожение этих данных третьими лицами;
5. обжаловать в суде или в уполномоченном органе по защите прав субъектов ПДн любые неправомерные действия или бездействие Предприятие при обработке и защите ПДн субъекта, если субъект ПДн считает, что Предприятие осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1. подтверждение факта обработки ПДн Предприятие;
2. правовые основания и цели обработки ПДн;
3. цели и применяемые Предприятие способы обработки ПДн;
4. наименование и место нахождения Предприятие, сведения о лицах (за исключением работники Предприятие), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Предприятие или на основании федерального закона;
5. обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки ПДн, в том числе сроки их хранения;
7. порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Предприятие, если обработка поручена или будет поручена такому лицу;
10. информацию о способах исполнения Предприятие обязанностей, установленных статьёй 18.1 Федерального закона № 152-ФЗ;
11. иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае, если обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно в Предприятие или направить ему повторный запрос в целях получения сведений, и ознакомления с ПДн не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

Субъект ПДн вправе обратиться повторно или направить ему повторный запрос до истечения 30 дневного срока в случае, если сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

Предприятие вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренные частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Предприятие.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если:

1. обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2. обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
3. обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
4. доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
5. обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

2. Цели сбора персональных данных

Обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей. Обработке подлежат только ПДн, которые отвечают целям их обработки. Содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

При обработке ПДн Предприятие обеспечивает точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Предприятие принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.

Целями обработки ПДн в Предприятие являются:

1. ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства РФ;
2. обеспечение и осуществление взаимодействия с третьими лицами/контрагентами оператора по вопросам заключения договоров и в рамках исполнения обязательств по договорам;
3. обеспечение пропускного режима на территорию оператора;
4. обеспечение соблюдения налогового законодательства РФ;
5. обеспечение соблюдения пенсионного законодательства РФ;
6. обеспечение соблюдения страхового законодательства РФ;
7. подбор персонала (соискателей) на вакантные должности оператора;
8. обеспечения медицинской продукцией льготной категории граждан.

3. Правовые основания обработки персональных данных

Обработка персональных данных в Предприятие осуществляется на следующих основаниях:

1. ст. ст. 23-24 Конституции Российской Федерации;
2. ст. ст. 85-90 Трудовым кодексом Российской Федерации;
3. Налоговым кодексом Российской Федерации;
4. Гражданским кодексом Российской Федерации;
5. Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
6. Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
7. Федеральным законом от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
8. Указом Президента Российской Федерации от 17.04.2017 № 171 «О мониторинге и анализе результатов рассмотрения обращений граждан и организаций»;
9. Федеральным законом от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
10. ст. 8 Федерального закона от 31.05.1996 № 61-ФЗ «Об обороне»;
11. ст. 9 Федерального закона от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
12. Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
13. ст. 13 и ст. ст. 92-94 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
14. Уставом Предприятия.

4. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных

Предприятие осуществляет на законной и справедливой основе обработку ПДн следующих физических лиц (субъектов ПДн):

Цель ГУП «Кубаньфармация» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1. Работники:

   Специальные категории ПДн: сведения о состоянии здоровья, сведения о судимости.

   Иные категории ПДн: фамилия, имя, отчество, дата рождения, адрес места жительства по регистрации и дата регистрации; адрес фактического места жительства, гражданство, данные водительского удостоверения, данные документа, удостоверяющего личность, паспортные данные, данные трудовой книжки, информация о трудовой деятельности, ИНН, СНИЛС, контактные сведения (номер телефона, электронная почта), место работы, место рождения, место учебы, номер лицевого счета, номер расчетного счета, образование, отношение к воинской обязанности, сведения о воинском учете, пол, профессия, результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей, реквизиты банковской карты, реквизиты лицевого/банковского счета, сведения для определения налогового статуса (резидент/нерезидент), сведения об образовании, сведения о профессиональной переподготовке или повышения квалификации, сведения о воинском учёте, сведения о государственных наградах, иных наградах и знаках отличия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), семейное положение, состав семьи, данные свидетельства о браке/разводе, данные свидетельства о рождении ребенка, социальное положение, специальность, место работы или учебы членов семьи, фотографическое изображение.

   Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: блокирование; запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.

   Срок обработки ПДн: до достижения цели, срок хранения ПДн: до достижения цели.

2. Родственники работников:

   Иные категории ПДн: адрес регистрации, гражданство, данные документа, данные свидетельства о браке/разводе, данные свидетельства о рождении ребенка, дата рождения, контактные сведения (номер телефона, электронная почта), место рождения, место учебы, пол, степень родства, фамилия, имя, отчество.

   Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: блокирование; запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.

   Срок обработки ПДн: до достижения цели, срок хранения ПДн: до достижения цели.

3. Уволенные работники:

   Специальные категории ПДн: сведения о судимости, состояние здоровья.

   фамилия, имя, отчество, дата рождения, адрес места жительства по регистрации и дата регистрации; адрес фактического места жительства, гражданство, данные водительского удостоверения, данные документа, удостоверяющего личность, паспортные данные, данные трудовой книжки, информация о трудовой деятельности, ИНН, СНИЛС, контактные сведения (номер телефона, электронная почта), место работы, место рождения, место учебы, номер лицевого счета, номер расчетного счета, образование, отношение к воинской обязанности, сведения о воинском учете, пол, профессия, результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей, реквизиты банковской карты, реквизиты лицевого/банковского счета, сведения для определения налогового статуса (резидент/нерезидент), сведения об образовании, сведения о профессиональной переподготовке или повышения квалификации, сведения о воинском учёте, сведения о государственных наградах, иных наградах и знаках отличия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), семейное положение, состав семьи, данные свидетельства о браке/разводе, данные свидетельства о рождении ребенка, социальное положение, специальность, место работы или учебы членов семьи, фотографическое изображение..

   Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: блокирование; запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.

   Срок обработки ПДн: до достижения цели, срок хранения ПДн: до достижения цели.

4. Контрагенты:

   Иные категории ПДн: данные документа, удостоверяющего личность, должность, контактные сведения (номер телефона, электронная почта), паспортные данные, реквизиты лицевого/банковского счета, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), фамилия, имя, отчество.

   Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: блокирование; запись; извлечение; использование; накопление; обезличивание; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.

   Срок обработки ПДн: до достижения цели, срок хранения ПДн: до достижения цели.

5. Представители контрагентов:

   Иные категории ПДн: данные документа, удостоверяющего личность, контактные сведения (номер телефона, электронная почта), реквизиты лицевого/банковского счета, фамилия, имя, отчество.

   Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: блокирование; запись; извлечение; использование; накопление; обезличивание; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.

   Срок обработки ПДн: до достижения цели, срок хранения ПДн: до достижения цели.

6. Соискатели:

   Специальные категории ПДн: сведения о состоянии здоровья, сведения о судимости.

   Иные категории ПДн: Иные категории ПДн: фамилия, имя, отчество, пол, дата рождения, адрес фактического места жительства, гражданство, данные водительского удостоверения, данные документа, удостоверяющего личность, паспортные данные, данные трудовой книжки, информация о трудовой деятельности, ИНН, СНИЛС, контактные сведения (номер телефона, электронная почта), место работы, место учебы, образование, сведения об образовании, сведения о профессиональной переподготовке или повышения квалификации отношение к воинской обязанности, сведения о воинском учете, профессия, результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей, сведения о государственных наградах, иных наградах и знаках отличия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации).

   Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: блокирование; запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.

   Срок обработки ПДн: до достижения цели, срок хранения ПДн: до достижения цели.

7. льготная категория граждан:

   Иные категории ПДн: фамилия, имя, отчество, дата рождения, пол, адрес место жительства по регистрации, (СНИЛС); номер полиса обязательного медицинского страхования контактные сведения (номер телефона, электронная почта),

   Специальные категории Пдн: данные о состоянии здоровья (код по МКБ-10, наименование назначенного лекарственного препарата), категория льготы гражданина и ее код, данные документа, подтверждающего право на льготу,

   Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: блокирование; запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.

   Срок обработки ПДн: до достижения цели, срок хранения ПДн: до достижения цели.

5. Порядок и условия обработки персональных данных

5.1. Перечень действий с ПДн субъектов, осуществляемых Предприятие

Предприятие осуществляются следующие действия с ПДн:

1. в рамках цели обработки «Ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства РФ»: передача (доступ), накопление, сбор, запись, блокирование, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение;
2. в рамках цели обработки «Обеспечение пропускного режима на территорию оператора»: передача (доступ), запись, блокирование, систематизация, передача (предоставление), использование, удаление, обезличивание, накопление, сбор, хранение, уточнение (обновление, изменение), уничтожение, извлечение;
3. в рамках цели обработки «Подбор персонала (соискателей) на вакантные должности оператора»: передача (доступ), накопление, сбор, запись, блокирование, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение;
4. в рамках цели обработки «Обеспечение соблюдения налогового законодательства РФ»: передача (доступ), накопление, сбор, запись, блокирование, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение;
5. в рамках цели обработки «Обеспечение соблюдения страхового законодательства РФ»: передача (доступ), накопление, сбор, запись, блокирование, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение;
6. в рамках цели обработки «Обеспечение и осуществление взаимодействия с третьими лицами/контрагентами» оператора по вопросам заключения договоров и в рамках исполнения обязательств по договорам»: передача (доступ), запись, блокирование, систематизация, передача (предоставление), использование, удаление, обезличивание, накопление, сбор, хранение, уточнение (обновление, изменение), уничтожение, извлечение;
7. в рамках цели обработки «Обеспечение соблюдения пенсионного законодательства РФ»: передача (доступ), накопление, сбор, запись, блокирование, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение;
8. в рамках цели обработки «льготная категория граждан» передача (доступ), накопление, сбор, запись, блокирование, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение.

5.2. Способы обработки ПДн

Предприятие применяются следующие способы обработки ПДн:

1. в рамках цели обработки «Ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства РФ» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
2. в рамках цели обработки «Обеспечение пропускного режима на территорию оператора» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
3. в рамках цели обработки «Подбор персонала (соискателей) на вакантные должности оператора» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
4. в рамках цели обработки «Обеспечение соблюдения налогового законодательства РФ» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
5. в рамках цели обработки «Обеспечение соблюдения страхового законодательства РФ» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
6. в рамках цели обработки «Обеспечение и осуществление взаимодействия с третьими лицами/контрагентами» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
7. в рамках цели обработки «Обеспечение соблюдения пенсионного законодательства РФ» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
8. в рамках цели обработки «льготная категория граждан» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

5.3. Передача ПДн третьим лицам

При обработке персональных данных субъекта должны соблюдаться следующие требования:

1. не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта;
2. предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.

6.2. При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, ГУП «Кубаньфармация» запрашивает согласие субъекта в письменной форме. Форма согласия утверждается приказом Генеральный директор ГУП «Кубаньфармация». Допускается совмещение формы согласия субъекта с типовой формой документов, содержащих персональные данные субъекта (например: анкеты). Допускается совмещение формы согласия субъекта с другими формами согласий.

5.4. Меры по обеспечению безопасности ПДн при их обработке

Предприятие, при обработке ПДн, принимает необходимые правовые, организационные и технические меры, и обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается Предприятие, в частности, следующими мерами:

1. оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинён субъектам ПДн в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом «О персональных данных»;
2. осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн закону «О персональных данных» и внутренним документам Предприятие по вопросам обработки ПДн;
3. ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, политикой Предприятие в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
4. издание политики Предприятие в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
5. учёт машинных носителей ПДн;
6. назначение ответственного за организацию обработки ПДн;
7. восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8. определение угроз безопасности ПДн при их обработке в информационных системах ПДн;
9. оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
10. установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе ПДн;
11. обнаружение фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них;
12. контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищённости информационных систем ПДн;
13. применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости ПДн.

5.5. Базы ПДн Предприятие находятся полностью в пределах территории Российской Федерации.

5.6. Сроки обработки ПДн

ПДн субъектов, обрабатываемые Предприятие, подлежат уничтожению либо обезличиванию в случае:

1. достижения целей обработки ПДн или утраты необходимости в достижении этих целей;
2. отзыва субъектом ПДн согласия на обработку его ПДн;
3. истечение срока действия согласия субъекта ПДн на обработку его ПДн;
4. отсутствия возможности обеспечить правомерность обработки ПДн;
5. прекращения деятельности Предприятие.

5.7. Условия обработки ПДн без использования средств автоматизации

При обработке ПДн, осуществляемой без использования средств автоматизации, Предприятие выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

ПДн при такой их обработке обособляются от иной информации, в частности, путём фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

6. Регламент реагирования на запросы обращения субъектов персональных данных и их представителей

При устном обращении либо письменном запросе субъекта ПДн или его представителя на доступ к ПДн субъекта, Предприятие руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ и требованиями по соблюдению мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённые постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211.

Субъект ПДн или его представитель может воспользоваться формами запросов (заявлений) или отзывом согласия, приведенными в приложениях к настоящей Политике.

Сведения о наличии и обработке ПДн предоставляются субъекту ПДн или его представителю Предприятие при обращении либо при получении запроса от субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Предприятие (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Предприятие, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Доступ субъекта ПДн или его представителя к ПДн субъекта Предприятие предоставляет только под контролем ответственного за организацию обработки ПДн (далее – Ответственное лицо) Предприятие.

Ответственное лицо Предприятие принимает решение о предоставлении доступа субъекту ПДн или его представителю к ПДн указанного субъекта.

В случае, если данные, предоставленные субъектом ПДн или его представителем не достаточны для установления его личности или предоставление ПДн нарушают конституционные права и свободы других лиц, Ответственное лицо Предприятия подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющийся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо от даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Предприятие в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Для предоставления доступа субъекту ПДн или его представителя к ПДн субъекта, Ответственное лицо Предприятия привлекает работника структурного подразделения, обрабатывающих ПДн субъекта, по согласованию с руководителем этого структурного подразделения.

Предприятие предоставляет безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящиеся к этому субъекту ПДн.

Сведения о наличии ПДн Предприятие предоставляет субъекту ПДн или его представителю в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Контроль предоставления сведений субъекту ПДн или его представителю осуществляет Ответственный Предприятие.

Сведения о наличии ПДн должны быть предоставлены субъекту ПДн или его представителю при ответе на запрос или при обращении в течение 10 рабочих дней от даты получения запроса (обращения) субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Предприятие в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

В случае отказа Предприятие в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя, Предприятие предоставляет в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Предприятие в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если:

1. обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2. обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
3. обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
4. доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
5. обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

7. Регламент реагирования, в случае запроса уполномоченного органа по защите прав субъектов персональных данных

В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ, Предприятие сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 10 дней с даты получения такого запроса. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Предприятие в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет Ответственный Предприятие, при необходимости с привлечением работников Предприятие.

В течение установленного срока, Ответственный Предприятие подготавливает и направляет в уполномоченный орган по защите прав субъектов ПДн мотивированный ответ и другие необходимые документы.