1. Общие положения
1.1. Положение об обработке и защите персональных данных (далее - Положение) утверждено и применяется ООО «НОВАЯ МЕДИЦИНА» (далее - Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
1.3. Настоящее Положение ООО «НОВАЯ МЕДИЦИНА» по обработке и защите персональных данных (далее – Положение) устанавливает цели, принципы и правила обработки персональных данных в ООО «НОВАЯ МЕДИЦИНА» и определяет основные меры, реализуемые ООО «НОВАЯ МЕДИЦИНА» для обеспечения безопасности персональных данных.
1.4. Требования настоящего Положения являются обязательными для исполнения работниками ООО «НОВАЯ МЕДИЦИНА», имеющими доступ к персональным данным.
1.5. ООО «НОВАЯ МЕДИЦИНА», являясь оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
1.6. Ответственность за организацию работы по обработке и защите персональных данных в ООО «НОВАЯ МЕДИЦИНА» несет Генеральный директор, возглавляющий блок безопасности ООО «НОВАЯ МЕДИЦИНА».
2. Цель обработки персональных данных.
2.1. Целью обработки персональных данных является:
2.1.1. Обеспечение соблюдения законодательства Российской Федерации.
2.1.2. Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.1.3. Продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
2.1.4. Обеспечение выполнения трудовых договоров с работниками.
2.1.5. Содействие работникам в обучении и продвижении по службе.
2.1.6. Обеспечения личной безопасности работников.
2.1.7. Исполнение различного вида договоров.
2.1.8. Повышение качества обслуживания клиентов - пользователей услуг ООО «НОВАЯ МЕДИЦИНА».
2.1.9. Обеспечение безопасности.
2.1.10. Обеспечение пропуска субъектов персональных данных на объекты ООО «НОВАЯ МЕДИЦИНА»
2.1.11. Исполнение обязательств перед физическими лицами, состоящими в договорных и иных гражданско-правовых отношениях с ООО «НОВАЯ МЕДИЦИНА»;
2.1.12. Проведение маркетинговых исследований, осуществления рекламно-информационных рассылок.
2.1.13. Выполнение социальных обязательств, а также в других целях, предусмотренных Уставом и локальными нормативными актами ООО «НОВАЯ МЕДИЦИНА».
3. Принципы и правила обработки персональных данных
3.1. Обработка персональных данных в ООО «НОВАЯ МЕДИЦИНА» осуществляется с соблюдением следующих принципов и правил:
3.1.1. Обработка осуществляется на законной и справедливой основе.
3.1.2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей.
3.1.3. Обработке подлежат персональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки.
3.1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.1.5. При обработке обеспечиваются точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятия таких мер.
3.1.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.1.7. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
3.2. Обработка персональных данных в ООО «НОВАЯ МЕДИЦИНА» осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
3.3. При обработке персональных данных Оператор соблюдает их конфиденциальность.
3.4. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
4. Способы обработки персональных данных.
4.1. Обработка персональных данных осуществляется:
- без использования средств автоматизации.
- с использованием средств автоматизации, в том числе:
- автоматизированной системой управления персоналом (АСУП);
- военно-учетным столом (ВУС);
4.1.1. АСУП содержит персональные данные работников Оператора и включает:
- персональный идентификатор;
- фамилию, имя, отчество субъекта персональных данных;
- вид документа, удостоверяющего личность субъекта персональных данных;
- серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
- адрес регистрации и адрес фактического проживания субъекта персональных данных;
- почтовый адрес субъекта персональных данных;
- контактный телефон, факс (при наличии) субъекта персональных данных;
- адрес электронной почты субъекта персональных данных;
- ИНН субъекта персональных данных;
- номер страхового свидетельства обязательного пенсионного страхования.
4.1.2. Рабочее место с установленным ВУС (в целях учета и бронирования граждан, пребывающих в запасе) включает персональные данные работников Оператора, а также:
- фамилию, имя, отчество;
- вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;
- дату и место рождения;
- адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
- семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
- сведения о трудовой деятельности;
- телефон субъекта персональных данных;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
- информацию о владении иностранными языками, степень владения;
- сведения о предыдущих местах работы;
- сведения о воинском учете и реквизиты документов воинского учета;
- военно-учетную специальность;
- воинское звание;
- годность к военной службе, состав;
- специальный учет (состоит или нет);
- иные персональные данные, необходимые для формирования и ведения учетного дела военнообязанного.
4.2. Сотруднику Оператора, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Оператора.
4.3. Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
5. Обеспечение безопасности персональных данных.
5.1. Обеспечение безопасности персональных данных, в том числе при их обработке в информационных системах, осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
5.2. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
5.3.1. определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
5.3.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных.
5.3.3. применение процедур оценки соответствия средств защиты информации.
5.3.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы.
5.3.5. учет машинных носителей персональных данных.
5.3.6. обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации.
5.3.7. обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер.
5.3.8. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
5.3.9. установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора.
5.3.10. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
5.4. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с требованиями законодательства и локальными актами Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
5.5. Аудит соблюдения Оператором требований законодательства Российской Федерации и положений локальных нормативных актов Оператора организован в соответствии с требованиями законодательства.
5.6. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, установлено локальным актом Оператора.
6. Условия обработки персональных данных
6.1. Оператором в целях реализации прав субъектов персональных данных ООО «НОВАЯ МЕДИЦИНА» при обработке их персональных данных:
6.1.1. принимает необходимые меры для выполнения обязанностей, предусмотренных законодательством Российской Федерации.
6.1.2. разъясняет субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации.
6.1.3. осуществляет блокирование, уточнение и уничтожение неправомерно обрабатываемых персональных данных, а также прекращение их неправомерной обработки.
6.1.4. уведомляет субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных.
6.1.5. предоставляет по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации, а также нормативными документами ООО «НОВАЯ МЕДИЦИНА».
6.2. Ответственный за организацию обработки персональных данных в ООО «НОВАЯ МЕДИЦИНА», в соответствии с установленными полномочиями обеспечивает:
6.2.1. разработку и актуализацию нормативных документов ООО «НОВАЯ МЕДИЦИНА» по вопросам обработки и защиты персональных данных.
6.2.2. доведение до сведения работников ООО «НОВАЯ МЕДИЦИНА» положений законодательства Российской Федерации, нормативных документов ООО «НОВАЯ МЕДИЦИНА» по вопросам обработки персональных данных, а также требований по защите персональных данных.
6.2.3. принятие правовых, организационных и технических мер для защиты персональных данных, в том числе обрабатываемых в информационных системах, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2.4. внутренний контроль за соблюдением в ООО «НОВАЯ МЕДИЦИНА» требований законодательства Российской Федерации и нормативных документов ООО «НОВАЯ МЕДИЦИНА» в области персональных данных, в том числе требований по защите персональных данных.
6.2.5. контроль за обработкой обращений и запросов субъектов персональных данных или их представителей по фактам нарушений законодательства в области персональных данных, допущенных работниками ООО «НОВАЯ МЕДИЦИНА».
6.2.6. взаимодействие с государственными органами по вопросам защиты персональных данных.
6.3. Обработка персональных данных в ООО «НОВАЯ МЕДИЦИНА» осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
6.4. К обработке персональных данных допускаются руководители ООО «НОВАЯ МЕДИЦИНА», наделенные этим правом работодателем, и только те работники ООО «НОВАЯ МЕДИЦИНА», в должностные обязанности которых входит обработка персональных данных.
6.5. Указанные руководители и работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
6.6. Передача персональных данных третьим лицам осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
6.7. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, установленных статьей 10.1 Федерального закона «О персональных данных».
6.8. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных.
6.9. Передача персональных данных в государственные органы осуществляется в соответствии с требованиями законодательства Российской Федерации.
6.10. ООО «НОВАЯ МЕДИЦИНА» вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора, существенным условием которого является обязанность обеспечения исполнителем условий конфиденциальности персональных данных и их безопасности при обработке.
6.11. При сборе персональных данных, в том числе с использованием информационно-телекоммуникационной сети Интернет, ООО «НОВАЯ МЕДИЦИНА» обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.
6.12. Сроки хранения персональных данных в ООО «НОВАЯ МЕДИЦИНА» определяются в соответствии с законодательством Российской Федерации и нормативными документами ООО " НОВАЯ МЕДИЦИНА ".
6.13. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
6.14. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
6.15. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
7. Порядок обеспечения оператором прав субъекта персональных данных
7.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
7.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 № 4462-1). Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
7.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
7.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
7.5.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.
7.5.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции Российской Федерации.
7.5.3. Для письменного согласия достаточно простой письменной формы.
7.6. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
7.7. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.8. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
7.9. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
7.9.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
7.9.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
7.10. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
7.11. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
7.12. Оператор в течение 10 (десяти) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7.13. Формы уведомлений, предусмотренных ч. 1, 4.1 и 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
7.14. Настоящее Положение и изменения к нему утверждаются приказом руководителя Оператора.
Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.