Политика обработки персональных данных

Общие положения

Политика обработки персональных данных в Обществе с ограниченной ответственностью «ВЕГА МЕДИЦИНСКИЙ ЦЕНТР» (ИНН 9718141734; ОГРН 1197746430859; адрес: 107113, город Москва, вн.тер.г. муниципальный округ Сокольники, ул. Маленковская, д. 14, к. 3, помещ. 2/1; далее по тексту соответственно – «Политика», «Общество») определяет основные принципы, цели, порядок и условия обработки персональных данных, а также категории лиц (субъектов), персональные данные которых обрабатываются в Обществе.

Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Федеральный закон»), а также иными нормативными правовыми актами Российской Федерации, в том числе отраслевыми, в области обработки персональных данных.

В соответствии с подпунктом 2 статьи 3 Федерального закона Общество является оператором обработки персональных данных, то есть юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Общество в рамках своей деятельности вправе осуществлять обработку общих категорий персональных данных, а также специальных категорий персональных данных только в случаях, прямо предусмотренных действующим законодательством Российской Федерации и (или) при наличии иных правовых оснований.

Лицо, ответственное за организацию обработки персональных данных и за обеспечение безопасности персональных данных в информационной системе определяется приказом генерального директора Общества.

Политика является внутренним нормативным документом Общества, подлежит пересмотру и, при необходимости, актуализации в случае изменений законодательства Российской Федерации в области персональных данных и/или локальных нормативных актов по вопросам обработки персональных данных.

Положения Политики действуют в отношении всех персональных данных, обрабатываемых Обществом, и являются основой для организации работы и процессов по обработке персональных данных, в том числе для разработки иных внутренних нормативных документов. Действие Политики распространяется на процесс обработки персональных данных, которые были получены как до, так и после ввода в действие настоящей Политики.

Все работники и контрагенты Общества, осуществляющие обработку персональных данных, обязаны соблюдать требования, предусмотренные положениями Политики.

Политика обработки персональных данных является общедоступным документом, подлежащим опубликованию на официальном сайте Общества https://doctorgudel.ru/ и https://drgudel.ru/.

Термины и определения

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных (субъект ПДн) – любое физическое лицо, прямо или косвенно определенное или определяемое с помощью его персональных данных.

Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; применительно к настоящей Политике оператором является Общество.

Специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Работник – физическое лицо, состоящее в трудовых отношениях с Обществом.

Пользователь – физическое лицо, использующее информационные ресурсы Общества для выполнения своих должностных обязанностей или исполнения условий договора.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Правовые основания обработки персональных данных

Политика обработки персональных данных в Обществе определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
• Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 15 сентября 2008 г.
• № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 09.02.2022 № 140 «О единой государственной информационной системе в сфере здравоохранения» (Положение о единой государственной информационной системе в сфере здравоохранения);
• иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

В целях реализации положений Политики в Обществе разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

• Положение о работе с персональными данными работников Общества;
• перечень должностей, при замещении которых работники осуществляют обработку персональных данных;
• иные локальные нормативные акты и документы, регламентирующие вопросы обработки персональных данных.

Персональные данные обрабатываются при наличии письменного согласия субъекта на обработку ПДн. Допускается получение согласия субъекта ПДн в электронной форме, а также иными способами, не противоречащими законодательству Российской Федерации.

Обработка персональных данных без получения письменного согласия на их обработку субъекта ПДн, осуществляется в случаях:

• возникновения необходимости выполнения прямых требований федеральных законов Российской Федерации, в том числе исполнения судебных актов, актов другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
• осуществления обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
• необходимости исполнения договора, стороной которого, в том числе выгодоприобретателем или поручителем, является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• возникновения необходимости защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, когда при сложившихся обстоятельствах получение согласия субъекта ПДн невозможно;
• осуществления медико-профилактических мероприятий в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
• обработка ПДн осуществляется в статистических или иных исследовательских целях при условии их обезличивания, за исключением продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
• в иных случаях, предусмотренных Федеральным законом.

Категории субъектов и перечень обрабатываемых персональных данных

В Обществе обрабатываются персональные данные следующих категорий субъектов:

• контрагенты, в том числе клиенты, Общества, а также представители контрагентов, законные представители, выгодоприобретатели по договорам;
• работники Общества, уволенные работники, а также их родственники;
• соискатели на вакантные должности в Обществе;
• посетители сайта Общества;
• учащиеся;
• иные категории субъектов персональных данных в соответствии с договором поручения на обработку ПДн.

Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в разделе 5 настоящей Политики, в том числе: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения, собираемые посредством метрических программ, сведения об образовании, фото-видео изображение лица, сведения о состоянии здоровья, иные персональные данные.

Обработка специальных категорий персональных данных, осуществляется в случаях, прямо предусмотренных законодательством Российской Федерации

Принципы и цели обработки персональных данных

Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов, указанных в пункте 4.1, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

• обработка персональных данных осуществляется в Обществе на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Обществом принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных, или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Персональные данные обрабатываются в Обществе в целях:

• ведения кадрового и бухгалтерского учета;
• обеспечения соблюдения трудового законодательства Российской Федерации;
• обеспечения соблюдения налогового законодательства Российской Федерации;
• обеспечения соблюдения пенсионного законодательства Российской Федерации;
• обеспечения соблюдения страхового законодательства Российской Федерации;
• подготовка, заключение и исполнение гражданско-правовых договоров;
• проведение статистического учета, в том числе сбор статистики посещаемости сайта и аналитика действий пользователей сайта Общества;
• продвижение товаров, работ, услуг на рынке;
• подбор персонала (соискателей) на вакантные должности Общества;
• обеспечение соблюдения законодательства Российской Федерации в сфере здравоохранения;
• обеспечения соблюдения законодательства Российской Федерации в сфере образования;
• в иных предусмотренных законом целях.
• В целях исполнения положений действующего законодательства Российской Федерации в сфере персональных данных Приложением 1 к настоящей Политике для каждой цели обработки ПДн определяются категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, а также способы обработки ПДн.

Особенности обработки в Обществе файлов-cookies регламентированы в Приложении 2 к настоящей Политики.

Общие правила обработки персональных данных

6.1 Персональные данные являются информацией ограниченного доступа (конфиденциальной информацией), в соответствии с законодательством Российской Федерации могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами.

Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

Общество принимает все необходимые правовые, организационные и технические меры при обработке персональных данных для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

При предоставлении субъектом ПДн персональных данных, в том числе посредством сети Интернет, Общество обеспечивает их обработку с использованием баз данных, находящихся на территории Российской Федерации.

В случаях, когда правовым основанием получения персональных данных является согласие субъекта ПДн, такое согласие может быть получено в любой форме, не противоречащей требованиям законодательства Российской Федерации и позволяющей подтвердить факт получения такового согласия.

В случае, если субъект ПДн является лицом недееспособным, либо ограниченно дееспособным, письменное согласие на обработку персональных данных получается от его законного представителя.

Обработка персональных данных в Обществе осуществляться как с использованием средств автоматизации, так и без использования таковых.

Автоматизированная обработка персональных данных осуществляется в информационных система персональных данных в строгом соответствии с требованиями законодательства Российской Федерации. Доступ к ИСПДн предоставляется работникам и контрагентам Общества исключительно для выполнения должностных обязанностей или исполнения условий договора.

Неавтоматизированная обработка персональных данных осуществляется на отдельных материальных носителях, в специальных разделах или на полях форм (бланков), а также иным способом.

Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона.

В целях внутреннего информационного обеспечения Общество может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, дата и место рождения, адрес, контактный номер телефона, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

Передача персональных данных третьим лицам допускается при наличии согласий субъектов ПДн, либо в случаях, прямо предусмотренных законодательством Российской Федерации.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Сроки хранения персональных данных определяются в соответствии с законодательством Российской Федерации и внутренними нормативными документами Общества. Хранение персональных данных осуществляется способами, обеспечивающими их конфиденциальность и безопасность.

Персональные данные субъектов ПДн подлежат уничтожению, если иное не регламентировано действующим законодательством Российской Федерации или соглашением между Обществом и субъектом ПДн, в следующих случаях:

• по истечении установленных сроков обработки персональных данных;
• по достижении целей обработки персональных данных или отсутствии необходимости в достижении этих целей;
• по требованию субъекта ПДн, его представителя или уполномоченного органа по защите прав субъектов персональных данных;
• при отзыве субъектом ПДн или его законным представителем согласия на обработку персональных данных.
• Отзыв согласия на обработку персональных данных осуществляется путем направления обращения почтовой корреспонденцией по адресу: 107113, город Москва, улица Маленковская, дом 14, корпус 3, помещение 2/1, или на электронный адрес info@doctorgudel.ru, с соблюдением требований, изложенных в пункте 6.18. настоящей Политики.

В соответствии с частью 3 статьи 14 Федерального закона запросы, направляемые в адрес Общества как оператора должны содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Уничтожение персональных данных осуществляется способом, обеспечивающим гарантированное исключение возможности их дальнейшей обработки.

Трансграничная передача данных Обществом не осуществляется.

Обязанности Общества как оператора

При сборе персональных данных Общество как оператор обязано предоставить субъекту персональных данных по его просьбе следующие сведения:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных его прав, предусмотренных действующим законодательством;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей по обработке и защите персональных данных;
• иные сведения, предусмотренные действующим законодательством.

Если предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными, Общество обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

Если персональные данные получены не от субъекта персональных данных, Общество, за исключением случаев, предусмотренных действующим законодательством, до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• права субъекта персональных данных;
• источник получения персональных данных.

Общество обязано принимать меры по обеспечению безопасности персональных данных при их обработке.

В случае выявления неправомерной обработки персональных данных или неточных персональных данных при обращении субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Общество обязано обеспечить блокирование обработки персональных данных, относящихся к субъекту ПДн, в том числе если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора, с момента получения такового обращения или запроса на период проверки.

В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано обезличить таковые персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта ПДн или его представителя.

В случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъекта ПДн, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

• в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Обществом на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Общество обязано предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие ПДн. Общество обязано уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

В случае достижения цели обработки ПДн Общество обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом или другими федеральными законами.

В случае обращения субъекта ПДн к Обществу с требованием о прекращении обработки ПДн Общество обязано в срок, не превышающий десяти рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных действующим законодательством. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Общество обязано разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. Общество обязано рассмотреть возражение субъекта персональных данных в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Права субъектов персональных данных

Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской настоящим Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных настоящей Политикой и законодательством Российской Федерации;
• иные сведения, предусмотренные настоящей Политикой и федеральными законами.

Сведения, указанные в пункте 8.2. настоящей Политики, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения, указанные в пункте 8.2. настоящей Политики, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Общество предоставляет сведения, указанные в пункте 8.2 настоящей Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Общество не докажет, что такое согласие было получено.

Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных законодательством Российской Федерации, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке

Обеспечение безопасности обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных

Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом или другими федеральными законами.

В частности, Обществом принимаются следующие меры, указанные в пункте 9.1 настоящей Политики:

• назначение ответственного за организацию обработки персональных данных;
• издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества;
• оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
• ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Обеспечение безопасности персональных данных достигается Обществом, в частности:

• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• учетом машинных носителей персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

В целях обеспечения безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленных Правительством Российской Федерации, Обществом:

• организован режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• обеспечена сохранность носителей персональных данных;
• утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей;
• используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
• назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Уровни защищенности персональных данных при их обработке в ИСПДн, требования к защите ПДн, обеспечивающих уровни их защищенности, определяются в зависимости от актуальных угроз безопасности персональных данных с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн в соответствии с требованиями Постановлений Правительства Российской Федерации, подзаконных нормативных правовых актов ФСТЭК России, ФСБ России и Минцифры России и иных нормативных правовых актов, а также договорами между Обществом, иными операторами и субъектами ПДн.

Защита персональных данных при неавтоматизированной обработке осуществляется в соответствии с требованиями действующего законодательства Российской Федерации и локальными нормативными документами Общества по работе с материальными носителями информации.

Ответственность

Общество несет ответственность за соответствие обработки и обеспечение безопасности персональных данных требованиям законодательства Российской Федерации.

Все работники Общества, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных внутренних локальных актов по вопросам обработки и обеспечения безопасности персональных данных.

Любой работник Общества, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки персональных данных, в соответствии с существующими в Обществе процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.