Политика в отношении обработки и обеспечния безопасности персональных данных
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ОБЕСПЕЧНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. ОБЩИЕ ПОЛОЖЕНИЯ
В целях поддержания деловой репутации и гарантирования выполнения норм федерального законодательства Российской Федерации в полном объеме Общество с ограниченной ответственностью «Асклепий» (ООО «Асклепий») (далее – оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
Политика в отношении обработки и обеспечения безопасности персональных данных (далее – Настоящая Политика) направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну и разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.
Настоящая Политика раскрывает основные категории субъектов персональных данных, обрабатываемые оператором, цели, способы и принципы обработки оператором персональных данных, права и обязанности оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых оператором в целях обеспечения безопасности персональных данных при их обработке.
Настоящая Политика является общедоступным документом, декларирующим концептуальные основы деятельности оператора при обработке и обеспечении безопасности персональных данных.
Оператор до начала обработки персональных данных уведомил уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Оператор добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.
II. ОСНОВНЫЕ ПОНЯТИЯ
Для целей настоящего Положения используются следующие основные понятия:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Защита персональных данных – комплекс мер технического, организационного и организационно-технического, правового характера, направленных на защиту сведений, относящиеся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Информация — сведения (сообщения, данные) независимо от формы их представления.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Конфиденциальность персональных данных – операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляется при непосредственном участии человека.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации - это любой материальный объект, используемый для закрепления и хранения на нем информации.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Представитель субъекта персональных данных – законный представитель субъекта персональных данных: лицо, выступающее на основании доверенности (с указанием полномочий на получение медицинской документации), удостоверенной в установленном порядке в соответствии с действующим законодательством Российской Федерации; опекун, попечитель с представлением подтверждающего документа; родители несовершеннолетнего до 18 лет.
Работники – субъекты персональных данных, состоящие в трудовых отношениях с Работодателем (оператором).
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Субъект персональных данных, являющийся соискателем вакантных должностей - субъект персональных данных, вступивший с оператором в отношения по поводу работы.
Субъекты персональных данных, оказывающие услуги (выполняющие работы) по договорам гражданско – правового характера - лица, с которыми заключены договорные отношения гражданско - правового характера.
Субъект персональных данных, обратившийся за платной медицинской помощью - лицо (субъект персональных данных), которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния на платной основе.
Субъект персональных данных, обратившийся за медицинской помощью по программе добровольного медицинского страхования (ДМС)) – лицо (субъект персональных данных), имеющее право и реализующее свое право на получение медицинской помощи по договору добровольного медицинского страхования путем заключения договора добровольного медицинского страхования со Страховщиком, у которого заключен договор на оказание медицинской помощи по ДМС с Оператором.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Иные понятия в настоящем Положении используются в значениях, определенных действующим законодательством Российской федерации либо их значение дается по тексту.
III. ИНФОРМАЦИЯ ОБ ОПЕРАТОРЕ
Общество с ограниченной ответственностью «Асклепий» (ООО «Асклепий») в соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных» - является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Наименование: Общество с ограниченной ответственностью «Асклепий» (ООО «Асклепий»)
ИНН: 2536015549
Фактический адрес: 690033, Приморский край, г. Владивосток, ул. Гамарника 3 «Б»
Тел./факс: 8 (423) 202-30-03, 270-22-99
IV. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Политика разработана в соответствии с Основами законодательства Российской Федерации об охране здоровья граждан (утв. ВС РФ 22.07.1993 N 5487-1), Конституцией Российской Федерации от 12.12.1993 (ст. 2, 17-24, 41), Гражданским кодексом Российской Федерации от 26.01.1996 г., Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом Российской Федерации № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных», Федеральным законом Российской Федерации от 02.05.2006 г. № 59 - ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Указом Президента от 06.03.1997 г. № 188 (ред. от 23.09.2005 г.) «Об утверждении перечня сведений конфиденциального характера», Постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК России № 21 от 18.02.2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) (утверждена ФСТЭК России 15.02.2008 г), иными нормативными правовыми актами Российской Федерации, принимаемыми во исполнение требований в области персональных данных.
Во исполнение настоящей Политики оператором утверждается следующие нормативные локальные акты: Положение об обработке и обеспечению безопасности персональных данных, Перечень лиц, допущенных к обработке персональных данных, Модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных (далее – ИСПДн), Акты классификации ИСПДн и иные нормативные локальные акты, принимаемые оператором во исполнение требований действующего законодательства Российской Федерации в области персональных данных.
V. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных оператором осуществляется в целях:
– В медико - профилактических целях, в целях установления медицинского диагноза и оказания медицинской помощи, в т. ч. на коммерческой основе, путем извлечения прибыли; создания условий для обеспечения гарантий прав граждан на оказание медицинской помощи надлежащего качества и в соответствующем объеме, а также профилактике заболеваний, сохранения и укрепления физического и психического здоровья каждого человека (субъекта персональных данных), поддержания его долголетней активной жизни, предоставления ему медицинской помощи; исполнения обязательств по договору; осуществления и выполнения возложенных Законодательством Российской Федерации на оператора функций, полномочий, обязанностей, а также осуществления прав и законных интересов оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными его внутренними локальными актами оператора.
– Регулирования трудовых отношений, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечении личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, очередности предоставления отпусков, установления и расчета размера заработной платы, оформления страховых свидетельств государственного пенсионного страхования и обязательного медицинского страхования, предоставления дополнительных гарантий и компенсаций, а также в иных целях, необходимых Работодателю (оператору) с целью соблюдения трудового законодательства и иных нормативных правовых актов Российской Федерации.
– Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации.
– Установления договорных отношений между оператором и субъектами персональных данных, оказывающими услуги (выполняющими работы) по договорам гражданско-правового характера и выполнения договорных обязательств (в т. ч. в части оплаты услуг) и реализации прав; контроля количества и качества выполняемой работы; в целях осуществления связи, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг (выполнением работ) по заключенным договорам; обеспечения Гражданского Кодекса Российской Федерации, Налогового Кодекса Российской Федерации, иных нормативных правовых актов Российской Федерации.
– Принятия возможности заключения трудового договора с субъектами персональных данных, являющимися соискателями вакантных должностей.
– Информационного обеспечения субъектов персональных данных (их законных представителей), а также повышения качества и доступности предоставляемых им услуг (обработка общедоступных персональных данных работников).
– Учёта рабочего времени (времени прихода на работу/ухода с работы), мониторинга присутствия работников на рабочих местах, повышения эффективности и роста производительности труда и укрепления трудовой дисциплины, обеспечения личной безопасности работников (обработка биометрических персональных данных (отпечатков пальцев) работников).
– Контроля качества обслуживания клиентов работниками, при общении с клиентами по телефону, повышения качества обслуживания, регулирования спорных вопросов с клиентами, а также снижения вероятности утечек конфиденциальной информации (обработка персональных данных работников, а также иных лиц, обратившихся к оператору посредством системы записи телефонных разговоров).
– Обеспечения личной безопасности работников, контроля выполнения должностных обязанностей работниками, качества обслуживания клиентов, а также обеспечения сохранности имущества (обработка видеоизображения работников).
– Улучшения качества обслуживания субъектов персональных данных (их законных представителей), обеспечения их личной безопасности и имущества (обработка видеоизображения субъектов персональных данных (их законных представителей)).
– Предоставления услуг, связанных с информированием клиентов по вопросам, связанным с оказанием медицинских услуг, в т. ч. информации рекламного характера.
– Рассмотрения жалоб, заявлений и иных обращений или запросов субъектов персональных данных (их законных представителей), принятия решений по ним, а также информирования данных субъектов персональных данных (их законных представителей) о принятых решениях.
– Для осуществления связи с работниками и иными субъектами персональных данных (их законными представителями).
– В иных законных целях.
VI. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор осуществляет обработку персональных данных следующих субъектов персональных данных:
- Работников (в т. ч. уволенных).
- Близких родственников работников.
- Субъектов персональных данных, являющихся соискателями вакантных должностей.
- Субъектов персональных данных, оказывающих услуги (выполняющих работы) по гражданско-правовым договорам.
- Субъектов персональных данных, обратившихся за платной медицинской помощью.
- Субъектов персональных данных, обратившихся за медицинской помощью по программе добровольного медицинского страхования (ДМС)).
- Субъектов персональных данных, обратившиеся к оператору с жалобами, заявлениями и иными обращениями или запросами.
- Представителей субъектов персональных данных
В ходе осуществления Оператором своих функций перечень субъектов персональных данных может быть пересмотрен по мере необходимости.
VI. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Перечень персональных данных указанных выше субъектов персональных данных утверждается отдельным локальным документом Оператора. В ходе осуществления Оператором своих функций Перечень может быть пересмотрен по мере необходимости.
VII. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ, СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется Оператором путем совершения действий или совокупности действий в отношении персональных данных, которые необходимы или желаемы для достижения указанных целей, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных без использования средств автоматизации, с использованием таковых, по открытым каналам (в том числе посредством сети Интернет, электронный почты) и по внутренней сети, с использованием электронных и иных материальных носителей.
VIII. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных оператором осуществляется в соответствии со ст. 5 гл. 2 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных» на основе следующих принципов:
- На законной и справедливой основе.
- Ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
- Содержание и объём обрабатываемых персональных данных оператором соответствует заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных оператором обеспечиваются точность, достаточность, а в необходимых случаях и актуальность персональных данных по отношению к целям их обработки. Оператор принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
- Хранение персональных данных оператором осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
IX. ОСНОВНЫЕ ТРЕБОВАНИЯ, ПРЕДЪЯВЛЯЕМЫЕ К ОБРАБОТКЕ, ПЕРЕДАЧЕ И ХРАНЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ
В целях обеспечения прав и свобод человека и гражданина оператором соблюдаются следующие требования:
- Оператор осуществляет обработку персональных данных субъектов персональных данных в случаях, установленных законодательством Российской Федерации. Одним из таких случаев является предоставление субъектом персональных данных согласия на обработку персональных данных.
- Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
- Все персональные данные субъекта персональных данных получают у него самого. Если такие данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
- Согласие на обработку его персональных данных должно включать в себя:
– Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем его органе.
– Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).
– Наименование и адрес оператора.
– Цель обработки персональных данных.
– Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
– Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
– Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.
– Срок, в течение которого действует согласие, а также порядок его отзыва, если иное не установлено федеральным законом.
– Подпись[1] субъекта персональных данных.
Согласие должно быть конкретным, информированным и сознательным.
Согласие субъекта персональных данных может быть оформлено как в виде отдельного документа, так и закреплено в тексте договора или иного соглашения, и при этом оно должно отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных».
Для обработки персональных данных, содержащихся в согласии субъекта персональных данных на обработку его персональных данных, дополнительного согласия не требуется.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных даёт его законный представитель.
В случае его смерти согласие на обработку его персональных данных дают в письменной форме его наследники, если такое согласие не было им при его жизни.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
- Оператор вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при его отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных».
- При определении объёма и содержания обрабатываемых персональных данных субъекта персональных данных, оператор руководствуется Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации и иными федеральными законами.
- Оператор вправе получать и обрабатывать персональные данные субъекта персональных данных, отнесенных к специальной категории персональных данных: о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, частной жизни в случаях, установленных действующим законодательством Российской Федерации. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации, работодатель (оператор) вправе получать и обрабатывать данные о частной жизни работника с его письменного согласия.
- Оператор не имеет права получать и обрабатывать персональные данные о членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами.
- Оператором не принимаются решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
- Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается оператором за свой счет, в порядке, установленном действующим законодательством Российской Федерации.
- Оператором обеспечивается конфиденциальность персональных данных: не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
- Оператором не используются персональные данные в целях причинения материального ущерба и морального вреда их субъекту, ущемления его прав и законных интересов.
- Оператор не требует от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получение такой информации помимо воли гражданина, если иное не предусмотрено федеральными законами.
- В целях информационного обеспечения оператором создаются общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
В соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных» персональные данные субъекта персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по его требованию либо по решению суда или иных уполномоченных государственных органов.
- Оператор обрабатывает биометрические персональные данные (отпечатки пальцев) работников.
Обработка биометрических персональных данных (отпечатков пальцев) осуществляется оператором с соблюдением требований действующего законодательства Российской Федерации, включая требование, установленное в ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152 – ФЗ «О персональных данных», о получении письменного согласия работников на такую обработку.
- Трансграничная передача персональных данных оператором осуществляется с целью выполнения Обществом (оператором) обязательств по агентским договорам. Трансграничная передача персональных данных субъектов персональных данных обрабатываются оператором с соблюдением требований, установленных Федеральным законом Российской Федерации от 27.07.2006 г. № 152 – ФЗ «О персональных данных».
- Оператор вправе поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим федеральным законом.
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона Российской Федерации от 27.07.2006 г. № 152 «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несёт ответственность перед оператором.
- Передача персональных данных третьим лицам осуществляется только с согласия субъекта персональных данных либо в случаях, установленных федеральными законами, напр., в целях предупреждения угрозы жизни и здоровью.
По мотивированному запросу (исключительно для выполнения возложенных действующим законодательством Российской Федерации функций и полномочий на оператора) персональные данные субъекта персональных данных без его согласия могут быть переданы: в судебные органы в связи с осуществлением правосудия, в органы государственной безопасности, в органы прокуратуры, в органы полиции, в следственные органы, в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
Сроки обработки персональных данных определяются в зависимости от категории субъекта персональных данных и устанавливаются в соответствии с федеральными законами и нормативно-правовыми актами Российской Федерации (напр., «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным Приказом Минкультуры России от 25.08.2010 г. № 558 и т. п.), а также с учетом условий договора, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных, сроком исковой давности, иными требованиями действующего законодательства Российской Федерации.
X. СВЕДЕНИЯ О ТРЕТЬИХ ЛИЦАХ, УЧАСТВУЮЩИХ В ОБРАБОТКЕ ПЕРСОНАЛЬНЫЪХ ДАННЫХ
В целях соблюдения действующего законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим третьим лицам: налоговым органам, подразделениям Пенсионного фонда Российской Федерации, органам социального страхования, подразделениям муниципальных органов управления, судебным и правоохранительным органам, военкоматам, органам статистики, страховым компаниям, кредитным организациям, банкам, контрагентам и т. п.
XI. Сведения о реализуемых мерах по защите персональных данных
Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством Российской Федерации в области персональных данных.
Правовые, организационные и технические меры планируются и реализуются оператором в целях соответствия требованиям, приведенным ст. 18.1 и ст. 19 Федерального закона Российской Федерации от 27.07.2006 г. №152 - ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК России № 21 от 18.02.2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) (утверждена ФСТЭК России 15.02.2008 г), Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденными руководством Центра ФСБ России 21.02.2008 г., № 149/6/6-662, иными нормативными правовыми актами Российской Федерации, внутренними нормативными локальными актами оператора в области персональных данных.
К таким мерам можно отнести:
– Назначение ответственного лица за обработку и защиту персональных данных.
– Разработку настоящей Политики в отношении обработки и обеспечения безопасности персональных данных, иных локальных актов Оператора по вопросам по вопросам обработки и обеспечения безопасности персональных данных. Опубликование настоящей Политики на официальном сайте Оператора.
– Принятие необходимых правовых, организационных и технических мер или обеспечение их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
– Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства Российской Федерации о персональных данных, требованиями к защите персональных данных и иными документами по вопросам обработки персональных данных.
– Установление ответственности работников Оператора за обеспечение безопасности обрабатываемых персональных данных в договорах, локальных актах оператора, должностных инструкциях.
– Соблюдение конфиденциальности персональных данных (подписание с работниками обязательств о неразглашении персональных данных и иных сведений конфиденциального характера; включение пункта о конфиденциальности в существующие соглашения (договоры) с третьими лицами или заключение новых, а также включение в них мер по обеспечению безопасности персональных данных).
– Получение согласия субъекта персональных данных или его законного представителя на обработку персональных данных субъекта персональных данных, в случаях, если это требуется законодательством.
– Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях, в специальных разделах.
– Обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных.
– Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним.
– Установление мест хранения носителей персональных данных и ответственности лиц, осуществляющих их использование и хранение.
– Установление правил доступа в помещения, в которых производится обработка персональных данных и размещены технические средства (серверы), на которых происходит обработка персональных данных, в т. ч. организация их физической охраны.
– Оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемым Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным федеральным законом.
– Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.
– Установление уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных.
– Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
– Осуществление резервного копирования.
– Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, обеспечение регистрации и учета всех действий с ними.
– Учет машинных носителей информации.
– Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, необходимых для достижения установленного уровня защищенности персональных данных.
– Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных.
– Внутренний контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
– Иные меры, направленные на исполнение требований, предусмотренных законодательством Российской Федерации в области обеспечения безопасности персональных данных.
XII. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных имеет право:
- Принимать решение о предоставлении своих персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе.
- Получение информации об имеющихся у оператора его персональных данных, в том числе сведений, указанных в ч. 7 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных».
- Свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральными законами.
- Требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору.
- На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Получать сведения, указанные в ч. 7 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных» в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
- Получать сведения, указанные в ч. 7 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных», при обращении либо при получении запроса самого субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
- В случае, если сведения, указанные в части указанные в ч. 7 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных», а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных» и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
- Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных указанные в ч. 7 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных», а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных», в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в ч. 3 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных», должен содержать обоснование направления повторного запроса.
- Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным ч. 4 и 5 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152 - ФЗ «О персональных данных». Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
- В случае принятия оператором решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, требовать разъяснения порядка принятия такого решения и возможные юридические последствия принятия такого решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, а также разъяснения порядка защиты субъектом персональных данных своих прав и законных интересов, а также иметь возможность заявить возражение против приятия такого решения.
- Определение своих представителей для защиты своих персональных данных.
- Обжаловать в порядке, установленном действующим законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц оператора.
- Отозвать согласие на обработку своих персональных данных.
Кроме указанных прав в вопросах обработки и обеспечения безопасности персональных данных субъект персональных данных обладает другими правами, предоставляемыми ему действующим законодательством Российской Федерации.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается при условии, если:
- Обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка.
- Обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.
- Предоставление персональных данных нарушает конституционные пава и свободы других лиц.
- Обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса от актов незаконного вмешательства.
XIII. КОНТАКТНАЯ ИНФОРМАЦИЯ
Субъекты персональных данных (их законные представители) могут направлять вопросы по обработке своих персональных данных (персональных данных лиц, законными представителем которых они являются) оператору следующими способами:
- Электронным сообщением на web-сайте: http://www.asklepiy-dv.ru.
- На почтовый адрес: 690033, Приморский край, г. Владивосток, ул. Гамарника, 3 «Б».
При этом в тексте запроса в целях идентификации гражданина необходимо указать:
- Фамилию, имя, отчество субъекта персональных данных или его законного представителя, осуществляющего запрос.
- Номер основного документа, удостоверяющего личность субъекта персональных данных (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе.
- Сведения, подтверждающие участие в отношениях с оператором (например, номер договора, фамилию, имя, отчество субъекта персональных данных и т. п.), либо сведения, иным способом подтверждающие факт обработки персональных данных оператором.
- Подпись субъекта персональных данных (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
XIV. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика подлежит опубликованию в информационно-телекоммуникационной сети «Интернет» (далее сеть Интернет) на web-сайте http://www.asklepiy-dv.ru/. Настоящая Политика действует до момента утверждения новой редакции. Настоящая Политика может быть дополнена или изменена. Изменения в настоящую Политику вносятся приказом директора.
XV. ОТВЕТСТВЕННОСТЬ
Лица, виновные в нарушении норм, регулирующих обработку и обеспечение безопасности персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
[1] Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.