Политика в отношении обработки персональных данных субъектов персональных данных ЗАО «МЦК»

  1. 1. Общие положения

    1.1. Назначение документа

    С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» ЗАО «МЦК» (далее – Компания) определяет важнейшими задачами: обеспечение законности обработки персональных данных в бизнес-процессах Компании и обеспечение надлежащего уровня безопасности обрабатываемых в Компании персональных данных.

    Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных (далее – ПДн), перечень обрабатываемых ПДн субъектов ПДн Компании, права и обязанности Компании при обработке ПДн, права субъектов ПДн, а также реализуемые в Компании меры по обеспечению безопасности ПДн при осуществлении установленных в Уставе видов деятельности.

    Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в Компании вопросы обработки ПДн.

    1.2. Нормативные ссылки

    Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»).

    Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    1.3. Область действия

    Действие настоящей Политики распространяется на все процессы Компании, в рамках которых осуществляется обработка ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.

    1.4. Используемые сокращения
    • ИСПДн – информационная система персональных данных.
    • ПДн – персональные данные.
    • РФ – Российская Федерация.
    1.5. Используемые термины и определения

    Основные понятия, приведенные в настоящей Политике, полностью соответствуют понятиям, указанным в ФЗ «О персональных данных».

    Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

    Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

    Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Оператор – ЗАО «МЦК».

    Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Средство вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

    Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.

    1.6. Утверждение и пересмотр

    Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Компании и действует бессрочно.

    Компания проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в год, а также:

        • - при изменении положений законодательства РФ в области ПДн;
        • - в случаях выявления несоответствий, затрагивающих обработку и (или) защиту ПДн;
        • - по результатам контроля выполнения требований по обработке и (или) защите ПДн;
        • - по решению руководства Компании.

    При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора Компании.

    Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Компании в сети Интернет, либо иным способом.

    2. Принципы обработки персональных данных

    При организации обработки ПДн субъектов ПДн Компания руководствуется следующими принципами:

    • - обработка ПДн осуществляется на законной и справедливой основе;
    • - обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
    • - не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
    • - обработке подлежат только ПДн, которые отвечают целям их обработки;
    • - содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
    • - при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
    • - хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен федеральными законами, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

    Компания в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию во время взаимодействия с Компанией, своевременно извещает Компанию об изменении своих ПДн.

    3. Цели сбора и обработки персональных данных

    Все персональные данные о субъекте ПДн Компания получает лично у субъекта ПДн. Если персональные данные субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн уведомляется об этом заранее и от него получают письменное согласие. Компания сообщает субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение.

    Компания производит обработку ПДн в соответствии с договорными обязательствами (трудовой договор), общехозяйственной деятельностью Компании, а также в соответствии с требованиями законодательства РФ в области ПДн.

    В Компании обрабатываются ПДн следующих субъектов ПДн:

    • - работники, состоящие в трудовых отношениях с ЗАО «МЦК»;
    • - физические лица (пациенты), состоящие в договорных отношениях с ЗАО «МЦК»;
    • - физические лица (арендодатели), состоящие в договорных отношениях с ЗАО «МЦК»;
    • - физические лица (подрядчики), состоящие в гражданско-правовых отношениях с ЗАО «МЦК»;
    • - физические лица (пользователи сайта).

    Целями обработки ПДн работников являются:

    • - ведение кадрового и бухгалтерского учета;
    • - расчет заработной платы;
    • - аутентификация пользователей для разграничения доступа к ресурсам компании; Целями обработки ПДн пациентов являются:
    • - заключение и исполнение договоров оказания платных медицинских услуг;
    • - оплата оказываемых медицинских услуг;
    • - оказание медицинских и медико-социальных услуг;
    • - в иных медико-профилактических целях;
    • - проведение и печать результатов исследований;
    • - оцифровка внешних исследований;
    • - ведение бухгалтерского учета.

    Целью обработки ПДн арендодателей является:

    • - ведение бухгалтерского учета.

    Целью обработки ПДн подрядчиков является:

    • - ведение бухгалтерского учета.

    Целями обработки ПДн пользователей сайта являются:

    • - совершенствования способов и методов представления информации на Сайте;
    • - улучшение обслуживания пользователей;
    • - выявление наиболее посещаемых страниц и интерактивных сервисов Сайта;
    • - ведение статистики посещений Сайта;
    • - предоставление информации о докторах, которые ведут прием и их расписании;
    • - запись на прием для пациентов;
    • - получение пациентами сведений о полученных ими услугах и задолженностях.

    В Компании обрабатываются специальные, иные, а также общедоступные категории персональных данных, не являющиеся биометрическими. Перечень обрабатываемых ПДн определяется действующим законодательством РФ, а также локальными документами Компании.

    При использовании информации, размещенной на официальном сайте Компании, технические средства Сайта с использованием различных технологий, таких как cookie- файлы, flash cookie-файлы, в том числе с помощью интернет сервиса Яндекс.Метрика автоматически распознает сетевые (IP) адреса и доменные имена каждого пользователя информации; источники захода на сайт www.mckolomen.ru; данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство); пользовательские клики, просмотры страниц, заполнения полей; данные, характеризующие аудиторные сегменты; параметры сессии; данные о времени посещения и прочей статистической информации.

    В Компании выполняются следующие действия с ПДн субъектов ПДн в процессе их обработки:

    • - сбор;
    • - запись;
    • - систематизация;
    • - накопление;
    • - хранение;
    • - уточнение (обновление, изменение);
    • - извлечение;
    • - использование;
    • - обезличивание;
    • - передача (распространение, предоставление, доступ);
    • - блокирование;
    • - удаление;
    • - уничтожение

    – при их обработке как с использованием средств автоматизации (с применением программ, информационных систем, компьютеров Компании), так и без использования таковых (на бумажных носителях).

    4. Условия обработки персональных данных и передача третьим лицам

    Компания обрабатывает ПДн субъектов ПДн в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства РФ в области ПДн.

    При обработке ПДн субъектов ПДн обеспечивается их конфиденциальность, целостность и доступность.

    Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры. При отсутствии письменного согласия субъекта ПДн передача ПДн производится в следующих случаях:

    • в целях предупреждения угрозы жизни и здоровья субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц, когда получение согласия субъекта персональных данных невозможно;
    • - в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг;
    • - при поступлении официальных запросов в соответствии с положениями законодательства об оперативно-разыскных мероприятиях;
    • - при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов;
    • - иных случаях, установленных законодательством.

    Субъекта ПДн, о котором запрашиваются сведения, предварительно уведомляют о передаче его персональных данных третьим лицам, за исключением случаев, когда если иное не предусмотрено требованиями законодательства, либо такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф. При возникновении таких обстоятельств Компания уведомит субъекта ПДн незамедлительно после окончания действия форс-мажорных обстоятельств и ликвидации их последствий.

    Представители Компании при передаче персональных данных субъектов ПДн предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и от этих лиц получается письменное подтверждение соблюдения этого условия.

    Случаи добровольного предоставления субъектом ПДн своих персональных данных третьим лицам рассматриваются как его личное распоряжение на передачу персональных данных.

    Компания может поручить обработку ПДн другому лицу при выполнении следующих условий:

    • - получено согласие субъекта ПДн на поручение обработки ПДн другому лицу;
    • - поручение обработки ПДн осуществляется на основании заключаемого с этим лицом договора (соглашения), разработанного с учетом требований Закона о персональных данных.

    Лицо, осуществляющее обработку ПДн по поручению Компании, соблюдает принципы и правила обработки ПДн и несет ответственность перед Компанией. Компания несет ответственность перед субъектом ПДн за действия уполномоченного лица, которому Компания поручила обработку ПДн.

    При обработке ПДн субъектов ПДн, Компания руководствуется положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

    5. Права субъекта персональных данных на доступ и изменение его персональных данных

    Субъект ПДн имеет право на:

    • получение информации, касающейся обработки его ПДн, в том числе содержащей:

      • - подтверждение факта обработки ПДн;
      • - правовые основания и цели обработки ПДн;
      • - цели и применяемые Компанией способы обработки ПДн;
      • - наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании иных требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
      • - обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
      • - сроки обработки ПДн, в том числе сроки их хранения;
      • - порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
      • - информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
      • - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
      • - иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» или другими требованиями законодательства в области ПДн.
      • уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

      Также, субъект ПДн имеет право принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.

      Запрос субъекта ПДн при обращении должен содержать номер основного документа, удостоверяющего личность или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Компанией, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

      6. Обязанности и права компании

      В соответствии с требованиями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» Компания обязуется:

      • - осуществлять обработку ПДн субъекта ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»,
      • - не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 № 152- ФЗ «О персональных данных»,
      • - представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется,
      • - осуществлять обработку ПДн только с согласия в письменной форме субъекта ПДн, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»,
      • - представлять субъекту ПДн или его представителю по запросу информацию, касающуюся обработки ПДн соответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 № 152- ФЗ «О персональных данных», в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя,
      • - разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»,
      • - принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн,
      • - вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней,
      • - блокировать обработку ПДн в срок, не превышающий трех рабочих дней, в случае выявления неправомерной обработки при обращении субъекта ПДн или его представителя, если блокирование ПДн не нарушает права и законные интересы соответствующего субъекта ПДн или третьих лиц,
      • - уничтожать ПДн соответствующего субъекта ПДн в срок, не превышающий десяти рабочих дней, в случае, если обеспечить правомерность обработки ПДн невозможно,
      • уведомлять субъекта ПДн или его представителя обо всех изменениях, касающихся соответствующего субъекта ПДн,
      • - вести журнал учета обращений субъектов ПДн, в котором фиксируются все запросы и обращения субъекта ПДн или его представителя,
      • - прекращать обработку и уничтожать ПДн соответствующего субъекта ПДн, в случае достижения цели обработки ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн, либо Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами,
      • - прекращать обработку ПДн и уничтожать ПДн соответствующего субъекта ПДн, в случае отзыва субъектом ПДн согласия на обработку своих ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПДн, либо требованиями законодательства РФ.

      В соответствии с положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» Компания имеет право:

      • осуществлять обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в ст.6, 10, 11 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»,
      • отказать субъекту ПДн в выполнении запроса/повторного запроса, в случае, если субъекту ПДн был предоставлен мотивированный ответ об отказе выполнения такого запроса,
      • осуществлять обработку ПДн без уведомления уполномоченного органа по защите прав субъектов ПДн в следующих случаях обработки ПДн:
      • - в соответствии с трудовым законодательством;
      • - полученных Компанией в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются Компанией исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
      • - включающих в себя только фамилии, имена и отчества субъекта ПДн;
      • - без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ в области ПДн.
    7. Меры, применяемые для защиты персональных данных

    Компания принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

    Меры по обеспечению безопасности ПДн, применяемые в Компании:

    • - назначено должностное лицо, ответственное за организацию обработки ПДн,
    • - назначено должностное лицо, ответственное за обеспечение безопасности ПДн,
    • - изданы документы, определяющие политику Компании в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений,
    • - оценен вред, который может быть причинен субъекту ПДн в случае нарушения законодательства РФ в области ПДн, оценено соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области ПДн,
    • - проводится ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ в области ПДн, в том числе с требованиями к защите ПДн, документами, определяющими политику Компании в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников,
    • - определены угрозы безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн),
    • - применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных,
    • - применяются средства защиты информации, обеспечивающие безопасность ПДн при их обработке в ИСПДн Компании,
    • - проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн,
    • - ведется учет машинных носителей ПДн,
    • - принимаются меры по обнаружению фактов несанкционированного доступа к ПДн,
    • - осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним,
    • - установлены правила доступа к ПДн, которые обрабатываются в ИСПДн, а также обеспечивается регистрация и учет всех действий, совершаемых с ПДн в ИСПДн,
    • - осуществляется контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
    8. Лицо, ответственное за организацию обработки персональных данных в компании

    В Компании назначено лицо, ответственное за организацию обработки ПДн. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от Генерального директора Компании.

    Лицо, ответственное за организацию обработки ПДн обязано:

    • - осуществлять внутренний контроль за соблюдением Компанией и ее работниками законодательства РФ в области ПДн, а также внутренних организационно- распорядительных документов Компании по вопросам обработки и защиты ПДн;
    • - доводить до сведения работников Компании положения законодательства РФ в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
    • - участвовать в пересмотре внутренних организационно-распорядительных документов Компании по вопросам обработки и защиты ПДн;
    • - организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль приема и обработки таких обращений и запросов.
    9. Ответственность за реализацию положений политики

    Работники Компании, осуществляющие обработку ПДн, а также ответственные лица за организацию и обеспечение безопасности ПДн в Компании несут дисциплинарную и административную ответственность в соответствии с действующим законодательством РФ за нарушение положений настоящей Политики, локальных актов Компании, иных требований, предусмотренных законодательством РФ в области ПДн.