Политика конфиденциальности

Приложение № 1 к приказу

ООО «Медицинский центр «Здоровый Крым»

№ 1-л от «20» июня 2019

ПОЛИТИКА

в отношении обработки персональных данных

ООО «Медицинский центр «Здоровый Крым»

1. Общие положения

1.1.Настоящая Политика в отношении обработки персональных данных (далее – Политика) подготовлена в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона Российской Федерации № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее – Закон) и определяет политику ООО «Медицинский центр «Здоровый Крым» (далее – Общество) в области обработки и защиты персональных данных (далее – персональные данные), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика служит основой для разработки Обществом локальных нормативных актов, регламентирующих в Обществе вопросы обработки персональных данных.

1.3. Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.

1.4. В целях реализации положений Политики в Обществе разрабатываются соответствующие локальные нормативные акты, в том числе Положение об организации работы с персональными данными в ООО «Медицинский центр «Здоровый Крым», иные локальные нормативные акты и документы, регламентирующие в Обществе вопросы обработки персональных данных.

2. Правовые основания и цели обработки персональных данных

2.1. Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Российской Федерации, Закона, Трудового кодекса Российской Федерации, подзаконных актов, других нормативных правовых актов Российской Федерации.

2.2. Общество, являясь оператором персональных данных, осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с Обществом в трудовых отношениях.

Субъектами персональных данных, обрабатываемых Обществом, являются:

— сотрудники Общества, родственники сотрудников Общества, в пределах, определяемых законодательством Российской Федерации, если сведения о них предоставляются сотрудником;

— лица, входящие в органы управления Обществом и не являющиеся сотрудниками Общества;

— физические лица, с которыми Обществом заключаются договоры гражданско-правового характера;

— представители юридических лиц – контрагентов Общества.

2.3. Общество обрабатывает персональные данные субъектов персональных данных в целях осуществления возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 8.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 08.08.2001 г. № 129-ФЗ «О

государственной регистрации юридических лиц и индивидуальных предпринимателей», уставом и локальными актами Общества.

2.4. Общество обрабатывает персональные данные сотрудников Общества в целях:

— содействия в трудоустройстве, обучении и продвижении по службе сотрудников Общества;

— расчета и начисления заработной платы;

— организации деловых поездок (командировок) сотрудников;

— оформления доверенностей (в том числе для представления интересов Общества перед третьими лицами);

— обеспечения личной безопасности сотрудников Общества;

— контроля качества выполняемой работы, исполнения трудовых обязанностей;

— обеспечения сохранности имущества Общества;

— учета рабочего времени;

— пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, иными правовыми актами;

— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

2.5. Общество обрабатывает персональные данные контрагентов-физических лиц в целях: заключения и исполнения гражданско-правового договора, одной из сторон которого является физическое лицо; рассмотрения возможностей дальнейшего сотрудничества.

2.6. Общество обрабатывает персональные данные представителей юридических лиц – контрагентов Общества в целях ведения переговоров, заключения и исполнения договоров, по которым предоставляются Данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Общества.

2.7. Общество обрабатывает персональные данные родственников работников Общества в целях исполнения требований законодательства Российской Федерации; предоставления дополнительных льгот; участия в корпоративных мероприятиях, исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве

3. Принципы и условия обработки персональных данных

3.1. При обработке персональных данных Общество придерживается следующих принципов:

— обработка персональных данных осуществляется на законной и справедливой основе;

— персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта Данных, за исключением случаев, требующих раскрытия персональных данных по запросу уполномоченных государственных органов, судопроизводства;

— определение конкретных законных целей до начала обработки (в том числе сбора) персональных данных;

— ведется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

— обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Общества может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Общество берет письменное согласие субъекта на обработку его персональных данных.

3.3. Общество не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и

иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

3.4. Общество может осуществлять обработку данных о состоянии здоровья субъекта персональных данных в следующих случаях:

1) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

2) для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

3) для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;

4) в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

3.5. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) в Обществе не обрабатываются.

3.6. Общество не осуществляет трансграничную передачу персональных данных.

3.7. В случаях, установленных законодательством Российской Федерации, Общество вправе осуществлять передачу персональных данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

3.8. Общество вправе поручить обработку персональных данных третьим лицам с согласия субъекта персональных данных, на основании заключаемого с этими лицами договора.

Лица, осуществляющие обработку персональных данных на основании заключаемого с Обществом договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Законом, а также конфиденциальность, обеспечивать безопасность персональных данных при их обработке, указываются требования к защите обрабатываемых персональных данных в соответствии с Законом.

3.9. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка персональных данных в Обществе осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4. Права и обязанности субъектов персональных данных, а также

Общества в части обработки персональных данных

4.1. Субъект, персональные данные которого обрабатываются Обществом, имеет право:

4.1.1. получать от Общества:

— подтверждение факта обработки персональных данных и сведения о наличии персональных данных, относящихся к соответствующему субъекту персональных данных;

— сведения о правовых основаниях и целях обработки персональных данных;

— сведения о наименовании и местонахождении Общества;

— перечень обрабатываемых персональных данных, относящихся к субъекту персональных данных, и информацию об источнике их получения, если иной порядок предоставления таких персональных данных не предусмотрен федеральным законом;

— сведения о порядке осуществления субъектом персональных данных прав, предусмотренных Законом;

— иные сведения, предусмотренные Законом или другими нормативно-правовыми актами Российской Федерации;

4.1.2. требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

4.1.3. отозвать свое согласие на обработку персональных данных в любой момент;

4.1.4. требовать устранения неправомерных действий Общества в отношении его персональных данных;

4.1.5. обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы;

4.1.6. на защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.

4.2. Общество в процессе обработки персональных данных обязано:

4.2.1. предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;

4.2.2. разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом;

4.2.3. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

4.2.4. обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите персональных данных;

4.2.5. предоставить субъектам персональных данных и/или их представителям безвозмездно возможность ознакомления с персональными данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;

4.2.6. прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества, в случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления;

4.2.7. прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных;

5. Требования к защите персональных данных

5.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. К мерам, указанным в пункте 5.1 настоящего Положения, относятся:

5.2.1. назначение лица, ответственного за организацию обработки персональных данных, и лица, ответственного за обеспечение безопасности персональных данных;

5.2.2. разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;

5.2.3. соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;

5.2.4. ознакомление сотрудников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных.

6. Сроки обработки (хранения) персональных данных

6.1. Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, основными правилами работы архивов организаций, сроками исковой давности. Общество обрабатывает (хранит) персональные данные (за исключением персональных данных сотрудников) 5 (пять) лет со дня окончания срока действия договора с субъектом персональных данных, если иное не предусмотрено договором, законодательством РФ. Срок хранения персональных данных сотрудников Общества устанавливается в соответствии с федеральными законами Российской Федерации.

6.2. Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.

7. Порядок получения разъяснений по вопросам

обработки персональных данных

7.1. Лица, чьи персональные данные обрабатываются Обществом, могут получить разъяснения по вопросам обработки своих персональных данных, обратившись лично в Общество или направив соответствующий письменный запрос по адресу местонахождения Общества.

7.2. Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.3. Рассмотрение запроса осуществляется в соответствии с правилами делопроизводства, установленными в Обществе.

8. Передача персональных данных

8.1. Персональные данные могут передаваться третьим лицам в следующих случаях ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр.

Персональные данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта персональных данных.

9. Заключительные положения

9.1. Настоящая Политика является локальным нормативным актом Общества. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается доступом любых лиц к ознакомлению с Политикой.

9.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:

— при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;

— в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики; по решению руководства Общества;

— при изменении целей и сроков обработки персональных данных;

— при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);

— при применении новых технологий обработки и защиты персональных данных (в т. ч. передачи, хранения);

— при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества.

9.3. В случае неисполнения положений настоящей Политики Общество и его сотрудники несут ответственность в соответствии с действующим законодательством Российской Федерации.

9.4. Контроль за исполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных, а также за безопасность персональных данных.