1. Назначение документа

Политика в отношении обработки персональных данных ООО «МЦ «Доктор +» (далее — Общество) определяет комплекс требований и организационно-технических мер, направленных на обеспечение безопасности обработки персональных данных Общества в соответствии с требованиями действующих нормативных актов Российской Федерации.

Общество является оператором ПДн в соответствии с законодательством РФ о ПДн.

Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2. Ответственность и область применения

Требования настоящей Политики обязательны к выполнению всеми работниками Общества.

На лиц, оказывающих Обществу услуги, связанные с обработкой ПДн, по договорам гражданско-правового характера (далее — ГПХ), требования настоящей Политики также распространяются. Указанные лица проходят ознакомление с Политикой под подпись при заключении договора ГПХ, если для оказания выше указанных услуг они получают доступ к КСПД и входят в следующие категории (но не ограничиваясь перечисленным):

– внешние подрядчики ИТ-услуг;

– внешние подрядчики ИБ-услуг;

Руководители структурных подразделений Общества несут персональную ответственность за ознакомление с настоящей Политикой всех подчиненных работников и контроль за выполнением её требований.

В случае выявления противоречия с положениями иных нормативных документов Общества, прямо или косвенно затрагивающих вопросы в области защиты персональных данных, требования настоящей Политики имеют наивысший приоритет.

3. Термины и определения

Полное наименование термина

Сокращение, аббревиатура

Определение/описание термина

Общество, Оператор обработки ПДн, Работодатель

 

Общество с ограниченной ответственностью «Медицинский центр «Доктор +», включая все структурные подразделения и представительства

Структурное подразделение

 

Официально выделенная в организационной структуре Общества группа работников, выполняющая определенные функции и задачи

Нормативный документ, Локальный нормативный акт

НД, ЛИА

Документ, устанавливающий правила, общие принципы и характеристики, касающиеся определенных видов деятельности или их результатов

Работник

 

Физическое лицо, состоящее в трудовых отношениях с Обществом, чьи персональные данные обрабатываются с использованием или без использования средств автоматизации

Пользователь

 

Физическое лицо, использующее информационные ресурсы Общества для выполнения своих должностных обязанностей или договорных обязанностей

Информационная безопасность

ИБ

Состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц

Обеспечение ИБ

 

Система мер по защите информационных ресурсов Общества от внутренних и внешних угроз

Информационная система

ИС

Система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т.д.), которые обеспечивают и распространяют информацию

Персональные данные

ПДн

Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Доступ к персональным данным и их обработка регулируется требованиями действующих нормативно- правовых актов Российской Федерации

Биометрические персональные данные

Биометрические ПДн

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности Субъекта Пдн

Субъект ПДн

Любое физическое лицо, прямо или косвенно определенное или определяемое с помощью его персональных данных

Законный представитель Субъекта ПДн

  

Родитель, опекун, попечитель и иное лицо, полномочия которого в контексте представления интересов и прав Субъекта ПДн определяются действующим законодательством Российской Федерации

Обработка ПДн

  

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
 

Информационная система обработки персональных данных

  

Информационная система, представляющая собой совокупность персональных данных, Содержащихся в базе данных, а также Информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Биометрические персональные данные

Биометрические ПДн

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности Субъекта Пдн

Субъект ПДн

 

Любое физическое лицо, прямо или косвенно определенное или определяемое с помощью его персональных данных

Законный представитель Субъекта ПДн

 

Родитель, опекун, попечитель и иное лицо, полномочия которого в контексте представления интересов и прав Субъекта ПДн определяются действующим законодательством Российской Федерации

Обработка ПДн

 

Лю6ое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Информационная система обработки персональных данных

ИСПДн

Информационная система, представляющая собой совокупность персональных данных, Содержащихся в базе данных, а также Информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

1. Общие принципы обработки ПДн

1.1. Обработка ПДн осуществляется на основе следующих принципов:

1.1.1. обработка ПДн осуществляется на законной и справедливой основе;

1.1.2. обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

1.1.3. обработка ПДн, несовместимая с целями сбора ПДн, не допускается;

1.1.4. к обработке персональных данных допускаются только те лица, которые входят в перечень лиц и которым доступ к персональным данным необходим для выполнения ими служебных (трудовых) обязанностей;

1.1.5. не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

1.1.6. содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;

1.1.7. при обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;

1.1.8. хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;

1.1.9.– обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2. Условия обработки ПДн

2.1. Обработка ПДн осуществляется строго с соблюдением принципов и правил, установленных федеральным законом 152-ФЗ «О персональных данных». Обработка ПДн осуществляется в следующих случаях:

2.1.1. обработка ПДн осуществляется только с согласия Субъекта ПДн на обработку его Пдн;

2.1.2. обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

2.1.3. обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

2.1.4. обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

2.1.5. обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

2.1.6. обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

2.1.7. обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн (исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи);

2.1.8. осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе.

2.1.9. осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом.

2.2. Общество может включать ПДн субъектов в общедоступные источники ПДн, при этом Общество берет письменное согласие субъекта на обработку его ПДн.

2.3. Общество может осуществлять обработку данных о состоянии здоровья Субъекта ПДн в следующих случаях:

2.3.1. при наличии письменного согласия Субъекта ПДн;

2.3.2. в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

2.3.3. для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия Субъекта ПДн невозможно;

2.3.4. для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;

2.3.5. в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

2.4. Обществом осуществляется обработка биометрических ПДн.

2.5. Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении Субъекта ПДн или иным образом затрагивающих его права и законные интересы, не осуществляется.

2.6. При отсутствии необходимости письменного согласия Субъекта ПДн на обработку его ПДн согласие Субъекта может быть дано Субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме.

2.7. При поручении обработки ПДн другому лицу Общество заключает договор (далее -«поручение оператора») с этим лицом и получает согласие субъекта ПДн, если иное не предусмотрено федеральным законом. При этом Общество в поручении оператора обязует лицо, осуществляющее обработку ПДн по поручению Общества, соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».

2.8. В случаях, когда Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.

2.9. Общество обязуется и обязует иных лиц, получивших от Общества доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

3. Обязанности Общества

3.1. В соответствии с требованиями Федерального закона 1Ч152-ФЗ «О персональных данных» Общество обязано:

3.1.1. предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя;

3.1.2. по требованию субъекта ПДн уточнять, блокировать или удалять обрабатываемые ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;

3.1.3. вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам;

3.1.4. уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн, за исключением случаев, когда:

  • 3.1.4.1. субъект ПДн уведомлен об осуществлении обработки Обществом его ПДн;
  • 3.1.4.2. ПДн получены Обществом в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн или на основании федерального закона;
  • 3.1.4.3. ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника,
  • 3.1.4.4.общество осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных;
  • 3.1.4.5. предоставление субъекту ПДн сведений, содержащихся в уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц;

3.1.5. в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты;

3.1.6. достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД

3.1.7. в случае отзыва субъектом ПДн согласия на обработку своих ПДн, прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом ПДн, при этом о факте уничтожения ПДн Общество обязано уведомить субъекта ПДн;

3.1.8. в случае поступления требования субъекта ПДн о прекращении обработки ПДН, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПДн;

3.1.9. при сборе ПДн, в том числе посредством информационнотелекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.

4. Меры по обеспечению безопасности ПДн при их обработке

4.1. При обработке ПДн Общество применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

4.2. Обеспечение безопасности ПДн достигается следующими мерами:

4.2.1. определение угроз безопасности ПДн при их обработке в ИСПДн;

4.2.2. применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;

4.2.3. применение прошедших в установленном порядке процедур оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, и средств защиты информации для нейтрализации актуальных угроз безопасности;

4.2.4. оценка эффективности принимаемых мер по обеспечению безопасности и ПДн до ввода в эксплуатацию ИСПДн;

4.2.5. учет машинных носителей ПДн;

4.2.6. обнаружение фактов несанкционированного доступа к ПДн и принятие мер по их нейтрализации;

4.2.7. восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4.2.8. установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

4.2.9. контроль соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, ЛНА Общества, в том числе контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

5. Права субъекта ПДн

5.1. Субъект ПДн имеет право:

5.1.1. получить сведения, касающиеся обработки ПДн Обществом, включая:

  • 5.1.1.1. подтверждение факта обработки ПДн Обществом;
  • 5.1.1.2. правовые основания и цели обработки ПДн Обществом;
  • 5.1.1.3. применяемые Обществом способы обработки ПДн;
  • 5.1.1.4. наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
  • 5.1.1.5. обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДН, источник их получения, если иной порядок представления таких данных не предусмотрел федеральным законом;
  • 5.1.1.6. сроки обработки ПДн Обществом, в том Числе сроки их хранения;
  • 5.1.1.7. порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
  • 5.1.1.8. информацию об осуществленной или предполагаемой трансграничной передаче данных;
  • 5.1.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • 5.1.1.10. иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;

5.1.2. потребовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5.1.3. отозвать согласие на обработку ПДн в предусмотренных законом случаях.

6. Порядок осуществления прав

6.1. Обращение субъекта ПДн к Обществу в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде по установленной форме при личном визите в Общество субъекта ПДн или его представителя.

6.2. Форма обращения выдается субъекту ПДн уполномоченным представителем Общества и заполняется субъектом ПДн или его представителем с проставлением собственноручной подписи в присутствии уполномоченного представителя Общества.

6.3. Уполномоченный представитель Общества, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПДн, основания, по которым лицо выступает в качестве представителя субъекта ПДн, и представленные при обращении оригиналы данного документа.

6.4. Ответ на обращение отправляется субъекту ПДн в письменном виде по почте на адрес, указанный в обращении.

6.5. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения оператором обращения.

6.6. Срок внесения необходимых изменений в ПДн, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.

6.7. Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

7. Ограничения прав субъектов ПДн

7.1. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если предоставление ПДн нарушает права и законные интересы третьих лиц.

7.2.В случае если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

7.3.Субъект ПДн вправе направить Обществу повторный запрос в целях получения сведений, касающихся обработки ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в п. 9.2 в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.

7.4.Общество вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.п. 9.2 и 9.3.

8. Особенности обработки ПДн при пользовании общедоступными ИС

Общества

8.1. При входе на общедоступный ИС Общества (веб-сайт), расположенный в сети Интернет, Субъект ПДн должен подтвердить своё согласие на использование файлов cookies (небольших фрагментов данных, отправленные веб-сайтом и хранимые на компьютере пользователя).

8.2. Подтверждение вышеуказанного согласия производится путём продолжения пользования веб-сайтом Общества.

8.2. Для информирования Субъекта ПДн о необходимости дать такое согласие, Общество размещает на своём веб-сайте всплывающий баннер с соответствующим текстом.

8.4. Файлы cookies, согласие на использование которых даёт Субъект ПДн, используются Обществом для обеспечения авторизации Субъекта ПДн в личном кабинете веб-сайта;

8.4.1. таргетирования рекламы;

8.4.2. анализа посещаемости сайта и звонков;

8.4.3. получения консолидированной аналитической информации посредством внешних (размещаемых на веб-сайте) систем аналитики и счётчиков (например, Яндекс.Метрика и подобных).