Политика в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ определяет политику Общества с ограниченной ответственностью «МЕДЭКСПЕРТ ПЛЮС» в отношении обработки персональных данных (далее – «Политика»).

1.2. Общество с ограниченной ответственностью «МЕДЭКСПЕРТ ПЛЮС» (далее – «Общество»), осуществляет обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон № 152-ФЗ») и принятыми в соответствии с ним нормативными правовыми актами.

1.3. Обработка сведений, составляющих врачебную тайну, которые включают в себя персональные данные, осуществляется Обществом с соблюдением требований Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иных нормативных правовых актов в сфере здравоохранения.

1.4. Настоящая Политика подлежит размещению на сайте Общества https://mymedex.ru/, а также на всех страницах сайта Общества, с использованием которых осуществляется сбор персональных данных субъектов.

1.5. Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к персональным данным.

1.6. Локальные акты и другие документы, регламентирующие обработку персональных данных в Обществе, разрабатываются с учетом положений настоящей Политики.

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

2.1. В настоящем документе используются следующие понятия:

1) персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

2) субъект персональных данных - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных;

3) Общество - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данной Политике под оператором понимается Общество;

4) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

5) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

6) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

7) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

8) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

9) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

10) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

11) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

12) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

13) врачебная тайна - сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении;

14) биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;

15) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ;

16) открытые источники персональных данных - социальные сети и иные Интернет- ресурсы, в которых непосредственно субъектом персональных данных или третьим лицом размещены персональные данные субъекта;

17) общедоступные источники персональных данных – справочники, адресные книги и иные источники персональных данных, в которые с письменного согласия субъекта персональных данных включены его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных осуществляется на основе следующих принципов:

1) обработка персональных данных осуществляется на законной и справедливой основе;

2) обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только те персональные данные, которые отвечают целям их обработки;

5) содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

6) при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

7) хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации;

8) заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

9) обработка персональных данных из открытых и общедоступных источников может осуществляться исключительно при наличии у Общества правовых оснований на обработку в соответствии с той целью, применительно к которой такая обработка осуществляется.

4. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъект персональных данных имеет право:

1) свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;

2) отозвать свое согласие на обработку персональных данных;

3) получать информацию, касающуюся обработки своих персональных данных, в том числе содержащую:

• подтверждение факта обработки персональных данных Обществом;
• правовые основания и цели обработки персональных данных (в том числе, доказательство получения Обществом согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия у Общества иных правовых оснований для обработки персональных данных субъекта);
• цели и применяемые Обществом способы обработки персональных данных;
• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании законодательства Российской Федерации;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
• информацию об отсутствии трансграничной передачи данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона №152-ФЗ;
• иные сведения, предусмотренные законодательством Российской Федерации;

4) требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5) требовать прекращения обработки своих персональных данных;

6) требовать прекращения обработки своих персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;

7) обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

8) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. ОБЯЗАННОСТИ ОБЩЕСТВА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Общество при осуществлении обработки персональных данных обязано:

1) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Общества в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

2) уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, об изменениях сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных в порядке и в сроки, установленные Законом № 152-ФЗ;

3) при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

4) разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на обработку персональных данных, если предоставление персональных данных и (или) получение согласия на обработку персональных данных является обязательным в соответствии с законодательством Российской Федерации;

5) обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ;

6) не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;

7) предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к субъекту персональных данных, в той форме, в которой были направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе;

8) предоставить безвозмездно субъекту или его представителю доказательство получения Обществом согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия у Общества иных правовых оснований для обработки персональных данных субъекта, в том форме, в которой были направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе;

9) внести необходимые изменения в персональные данные при наличии сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными;

10) немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;

11) уничтожить персональные данные при наличии сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

12) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить их обработку и уничтожить его персональные данные, за исключением случаев, предусмотренных законодательством о персональных данных;

13) по требованию субъекта персональных данных прекратить обработку и уничтожить его персональные данные, за исключением случаев, предусмотренных законодательством о персональных данных;

14) принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

15) обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных в порядке, определенном федеральным органом исполнительной власти в области обеспечения безопасности;

16) уведомить уполномоченный орган по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в порядке и сроки, установленные законодательством о персональных данных;

17) сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию.

6. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, СОСТАВ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. В Компании осуществляется обработка ПДн следующих категорий субъектов:

• соискателей (кандидатов на вакантные должности);
• работников;
• уволенных работников;
• родственников работников;
• членов органов управления (членов Совета директоров, членов Правления, единоличного исполнительного органа);
• пациентов;
• представителей пациентов;
• лиц, которым в интересах пациента может быть передана информация о состоянии его здоровья;
• заказчиков, не являющихся пациентами, и заключивших договоры оказания медицинских услуг пациенту;
• контрагентов и их представителей;
• посетителей сайта Общества.

6.2. Цели обработки персональных данных, состав и категории обрабатываемых персональных данных, сроки обработки и хранения персональных данных для каждой категории субъектов ПДн определены (изложены) в Приложении 1 к настоящей Политике.

7. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Правовыми основаниями обработки персональных данных для достижения целей, указанных в разделе 6 настоящей Политики, являются:

1) Гражданский кодекс российской Федерации;

2) Трудовой кодекс Российской Федерации;

3) Налоговый кодекс Российской Федерации;

4) Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;

5) Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

6) Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

7) Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

8) Федеральный закон Российской Федерации от 28.12.2003 №426 «О специальной оценке условий труда»;

9) Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;

10) Устав Общества;

11) Лицензия № ЛО-77-01-018719;

12) договоры, заключаемые между Обществом и субъектами персональных данных;

13) согласие субъектов персональных данных на обработку их персональных данных;

14) уведомление об автоматическом сборе технических данных пользователей (посетителей) сайта Общества;

15) иные нормативные правовые акты, исполнение требований которых связано с обработкой персональных данных.

8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Сбор персональных данных.;

8.1.1. Общество получает персональные данные в устной и письменной форме (в том числе в результате предоставления оригиналов или копий документов) непосредственно от субъектов персональных данных, их представителей, в также иных лиц в случаях и порядке, предусмотренных законодательством Российской Федерации.

8.1.2. При сборе персональных данных на страницах сайта Общество предоставляет субъекту персональных данных возможность ознакомления с настоящей Политикой и дать согласие на обработку персональных данных свободно, своей волей и в своем интересе.

8.1.3. Сбор и обработка персональных данных субъекта в целях продвижения товаров, работ, услуг Общества и иных третьих лиц с помощью средств связи осуществляется только при условии получения предварительного согласия на это субъекта.

8.1.4. Если в соответствии с законодательством Российской Федерации предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

8.1.5. Если персональные данные получены не от субъекта персональных данных, Общество до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

• наименование и адрес Общества;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• установленные законодательством о персональных данных права субъекта персональных данных;
• источник получения персональных данных.

8.2. Категории и состав обрабатываемых персональных данных.

8.2.1. Общество осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья работников, только в случаях, предусмотренных трудовым законодательством Российской Федерации.

8.2.2. Общество осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья пациентов в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг на основании заключаемого с пациентом договора оказания медицинских услуг и /или договора добровольного медицинского страхования.

8.2.3. Общество осуществляет распространение персональных данных медицинских работников, а именно: фамилия, имя, отчество (при наличии), занимаемая должность, сведения об образовании, квалификации, профессиональном опыте, стаж работы, фотография, график работы и часы приема с целью предоставления пользователям сайта информации о медицинской организации и ее работниках на основании и с соблюдением требований Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иных нормативных правовых актов в сфере здравоохранения, а также на основании согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (в части сведений, не указанных в соответствующих нормативных правовых актах).

8.2.4. Общество не осуществляет обработку биометрических персональных данных

8.2.5. Состав обрабатываемых Обществом персональных данных определен в п. 6 настоящей Политики

8.3. Условия передачи персональных данных третьим лицам.

8.3.1. Предоставление персональных данных органам государственной власти, органам местного самоуправления (в т.ч. путем внесения сведений в государственные и муниципальные информационные системы), а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.

8.3.2. Передача персональных данных между подразделениями Общества осуществляется только между работниками, имеющими доступ к персональным данным субъектов.

8.3.3. Представителю субъекта персональные данные субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.

8.3.4. Передача персональных данных субъекта третьему лицу осуществляется только с согласия субъекта персональных данных. В согласии субъекта персональных данных указывается сведения о третьем лице (третьих лицах), которому (которым) передаются персональные данные, а также цель передачи персональных данных.

8.3.5. Передача персональных данных или поручение обработки персональных данных субъектов третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности персональных данных в соответствии с требованиями законодательства о персональных данных.

8.3.6. При передаче персональных данных третьим лицам, которые на основании договоров получают доступ или осуществляют обработку персональных данных, Общество ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными лицами их функций (услуг, работ).

8.4. Трансграничная передача персональных данных.

8.4.1. Общество не осуществляет трансграничную передачу персональных данных.

8.5. Способы обработки.

8.5.1. Обработка ПДн осуществляется Компанией с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).

9. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Сведения, указанные в подп. 3 п. 4.1. настоящей Политики, предоставляются субъекту персональных данных или его представителю Обществом в течение 10 (десяти) рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Общество предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращение или запросе.

9.2. Порядок прекращения распространения персональных данных:

Распространение персональных данных, разрешенных субъектом персональных данных для распространения, должно быть прекращено в любое время по требованию субъекта персональных данных (при отсутствии у Общества иных правовых оснований). Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

9.3. Порядок уничтожения персональных данных:

Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в Приложении 1 к настоящей Политике, производится в следующих случаях:

• по истечение срока обработки, при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено /1/ и/или иными применимыми нормативными правовыми актами РФ;
• при выявлении факта неправомерной обработки персональных данных;
• при отзыве Субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено /1/;
• при предъявлении Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено /1/.

Способы уничтожения персональных данных определяются ВНД Общества по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных. Факт уничтожения персональных данных подтверждается в порядке, предусмотренном п. 9 настоящей Политики.

10. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.

10.2. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей.

10.3. Работники Общества, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.

10.4. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

10.5. Третьи лица, получившие доступ к персональным данным, или осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать требования договоров и соглашений с Обществом в части обеспечения конфиденциальности и безопасности персональных данных.

11. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, РЕАЛИЗУЕМЫЕ ОБЩЕСТВОМ

11.1. Обеспечение безопасности персональных данных при их обработке Обществом осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

11.2. Общество предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

11.3. Меры защиты, реализуемые Обществом при обработке персональных данных, включают:

• принятие локальных актов и иных документов в области обработки и защиты персональных данных;
• назначение работника, ответственного за организацию обработки персональных данных;
• назначение работника, ответственного за обеспечение безопасности персональных данных в информационных системах Общества;
• организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных;
• создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
• организацию учета информационных систем, в которых обрабатываются персональные данные, материальных носителей персональных данных и их хранение надлежащим образом;
• обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации и раздельное их хранение в случае, если обработка введется в разных целях;
• систематическую оценку угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• оценку причинения вреда и (или) нанесения ущерба субъектам персональных данных в случае нарушения законодательства о персональных данных;
• определение необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах Общества, в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• разграничение доступа к информационным системам персональных данных, материальным носителям (документам), съемным (машинным) носителям персональных данных;
• регистрацию и учет действий пользователей и администраторов информационных систем с персональными данными, программными средствами информационных систем, съемными (машинными) носителями и средствами защиты информации;
• предотвращение внедрения в информационные системы Общества вредоносных программ;
• использование защищенных каналов связи;
• резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
• выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности персональных данных, и реагирование на них;
• осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и локальных актов Общества при обработке персональных данных;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных и совершенствование системы защиты персональных данных.

11.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие Обществом с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

12. ЗАПРЕТЫ И ОГРАНИЧЕНИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ

12.1. В случае установления субъектом персональных данных в отношение разрешенных им для распространения персональных данных каких-либо запретов и/или ограничений, соответствующая информация размещается Обществом на сайте в месте непосредственного размещения соответствующих персональных данных.

12.2. Отсутствие указанной в пункте 12.1 настоящей Политики информации означает, что субъектом в отношение соответствующих персональных данных какие-либо запреты и/или ограничения – не установлены.

12.3. Невзирая на отсутствие установленных субъектом запретов и/или ограничений в отношение разрешенных им для распространения персональных данных – использование соответствующей информации пользователями сайта Общества должно осуществляться в соответствии с действующим законодательством Российской Федерации и с учетом целей, для которых такие данные были размещены.

13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

13.1. Настоящая Политика подлежит пересмотру и совершенствованию на регулярной основе, а также в случаях изменения законодательства Российской Федерации.

13.2. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности персональных данных в Обществе.

13.3. В случае нарушения требований законодательства Российской Федерации и локальных актов Общества в сфере обработки и защиты персональных данных Общество несет ответственность в соответствии с законодательством Российской Федерации.

14. ПРИЛОЖЕНИЕ № 1.

Перечень целей обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения.

Скачать Приложение 1