Санкт-Петербург, г. Пушкин
Редакция от 21.03.2023, действующая
1. Общие положения
1.1. Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – Закон). Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЛЕЧЕБНО-ДИАГНОСТИЧЕСКИЙ ЦЕНТР «СЕМЕЙНАЯ КЛИНИКА «МЕДА» (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. В Политике используются следующие основные понятия:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
Информация – сведения (сообщения, данные) независимо от формы их представления;
Конфиденциальность персональных данных – обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Сайт Оператора – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» по доменному имени https://medabolinet.ru;
Сообщество Оператора в социальной сети ВКонтакте – бизнес-аккаунт, расположенный по адресу https://vk.com/medaclinic;
Субъект персональных данных – физическое лицо, данные которого обрабатываются;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
1.3. Основные права и обязанности Оператора
1.3.1. Оператор имеет право:
– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные, соответствующие заявленным в настоящей Политике целям обработки персональных данных;
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных; – самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами
- Оператор обязан:
– получать конкретное, информированное, сознательное, предметное и однозначное согласие субъекта персональных данных на обработку его персональных данных ДО начала такой обработки;
– получать конкретное, информированное, сознательное, предметное и однозначное согласие субъекта персональных данных на обработку его персональных данных, разрешённых для распространения, отдельно от других согласий на обработку его персональных данных;
– предоставлять субъектам персональных данных по их запросам информацию, касающуюся обработки их персональных данных в срок не более 10 рабочих дней с момента получения Оператором такого запроса;
– организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ, в строгом соответствии с целями обработки, заявленными в настоящей Политике;
– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в срок не более 10 рабочих дней с момента получения Оператором такого обращения и/или запроса;
– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в срок не более 10 рабочих дней с даты получения такого запроса;
– публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных; – исполнять иные обязанности, предусмотренные Законом о персональных данных.
1.4. Основные права и обязанности субъектов персональных данных
1.4.1. Субъекты персональных данных имеют право:
– получать информацию, касающуюся обработки их персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
– на отзыв согласия на обработку персональных данных;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
– на осуществление иных прав, предусмотренных законодательством РФ.
1.4.2. Субъекты персональных данных обязаны:
– предоставлять Оператору достоверные данные о себе, необходимые для оказания им услуг Оператором, когда оказание услуг невозможно без доступа Оператора к указанным персональным данным;
– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
1.5. Иные положения
1.5.1. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
1.5.2 Оператор не несёт ответственности за распространение персональных данных субъекта, которые сам субъект без участия Оператора размещает в открытом доступе в социальной сети ВКонтакте, а также на иных ресурсах в информационно-коммуникационной сети интернет.
2. Цели сбора Оператором персональных данных
2.1. Обработка Оператором персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, перечисленных в данном разделе настоящей Политики.
2.2. Обработка персональных данных, несовместимая с целями сбора персональных данных, указанными в данном разделе настоящей Политики, Оператором не производится.
2.3. Обработка персональных данных осуществляется Оператором исключительно для достижения следующих конкретных, заранее определенных и законных целей, перечисленных ниже:
2.3.1. Продвижения услуг Оператора в информационно-телекоммуникационной сети «Интернет» и в социальной сети ВКонтакте, а именно:
– определения круга лиц, интересующихся информацией об услугах Оператора, которая размещена на сайте Оператора, а также в его Сообществе в социальной сети ВКонтакте;
– предоставления этим заинтересованным лицам более детальной информации о преимуществах услуг Оператора посредством сервиса рассылок и чат-ботов Senler и иными средствами;
– предоставления этим заинтересованным лицам возможности получить первичную бесплатную консультацию Оператора посредством заполнения Формы сбора заявок (одно из приложений социальной сети ВКонтакте) и иными средствами;
– информирования этих заинтересованных лиц о новых фото, видео, аудио, текстовых материалах, размещённых Оператором на его сайте, а также в его Сообществе в социальной сети ВКонтакте, о новых видах услуг Оператора, о наиболее выгодных предложениях для заказа;
– размещения видео, аудио, текстовых отзывов клиентов Оператора об услугах Оператора на его сайте, а также в Сообществе Оператора в социальной сети ВКонтакте.
2.3.2. Подготовки, заключения и исполнения гражданско-правовых договоров с клиентами, а именно:
– оперативного взаимодействия с пациентами Оператора в процессе оказания соответствующих медицинских услуг, либо с их законными представителями в случае оказания медицинских услуг несовершеннолетним;
– оказания медицинских услуг, в том числе идентификации пациентов (заказчиков), отражения информации в медицинской документации, предоставления сведений страховым компаниям (в случае оплаты ими оказываемых услуг), предоставления установленной законодательством отчетности в отношении оказанных медицинских услуг;
– обеспечения возможности возврата Оператором денежных средств клиентам на основании статьи 32 Закона РФ от 07.02.1992 N 2300-I «О защите прав потребителей».
2.3.3. Ведения Оператором кадрового и бухгалтерского учета.
2.3.4. Анализа Оператором статистических данных по итогам своей деятельности в информационно-телекоммуникационной сети «Интернет» и в социальной сети ВКонтакте.
2.3.5. Заключения Оператором гражданско-правовых договоров с его контрагентами и взаимодействия с ними в рамках указанных гражданско-правовых договоров.
3. Правовые основания обработки Оператором персональных данных
3.1. В своей деятельности, включающей в том числе обработку персональных данных, Оператор руководствуется статьей 34 Конституции РФ, статьей 23 Гражданского кодекса РФ, нормами Федерального закона от 08.08.2001 N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей», а также нормами Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и принятых на его основе нормативно-правовых актов, регулирующих отношения, связанные с оказанием медицинских услуг.
3.2. Правовыми основаниями обработки Оператором персональных данных, в том числе в информационно-телекоммуникационной сети «Интернет» и в социальной сети ВКонтакте, являются:
– статьи 5, 6, 7, 8, 9, 10, 10.1, 18, 18.1, 19, 20, 21, 22, 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;
– Правила защиты информации о пользователях сайта VK.com, актуальные на дату составления и утверждения Оператором настоящей Политики — 21.03.2023;
– Правила пользования сайтом VK.com, актуальные на дату составления и утверждения Оператором настоящей Политики — 21.03.2023.
4. Объем и категории обрабатываемых Оператором персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых Оператором персональных данных полностью соответствуют целям обработки, заявленным в части 2 настоящей Политики. Обрабатываемые Оператором персональные данные не являются избыточными по отношению к заявленным целям их обработки.
4.2. Для достижения указанных целей Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
– потенциальные клиенты – лица, интересующиеся информацией об услугах Оператора, которая размещена на сайте Оператора, а также в его Сообществе в социальной сети ВКонтакте;
– пациенты, законные представители пациентов – лица, оплатившие услугу (услуги) Оператора и находящиеся в процессе оказания им Оператором хотя бы одной услуги, а также их законные представители в случае оказания услуги (услуг) несовершеннолетним;
– работники Оператора, кандидаты на трудоустройство, а также члены семей работников – лица, находящиеся либо ранее находившиеся с Оператором в трудовых отношениях на основании заключенного между ними трудового договора и члены их семей, а также лица, претендующие на заключение такого договора с Оператором;
– контрагенты, представители/работники контрагентов Оператора (юридических лиц) – лица, с которыми Оператор находится в гражданско-правовых отношениях в рамках заключенного между ними договора либо представители/работники таких лиц, действующие по их поручению.
4.3. Обработка Оператором персональных данных субъектов из категории «Потенциальные клиенты»
4.3.1. В отношении субъектов персональных данных из категории «Потенциальные клиенты», Оператор осуществляет автоматизированную обработку следующих персональных данных:
– имя, фамилия, номер телефона, адрес электронной почты, указанные при заполнении заявки на сайте;
– имя, фамилия, номер телефона, адрес электронной почты, указанные при регистрации в социальной сети ВКонтакте;
– адрес аккаунта в социальной сети ВКонтакте, имеющего вид: https://vk.com/ адрес.
4.3.2. Указанные персональные данные потенциальных клиентов Оператор обрабатывает с целью продвижения собственных услуг, а именно:
– включает субъектов указанных персональных данных в круг лиц, интересующихся информацией об услугах Оператора, которая размещена на его сайте, а таже в его Сообществе в социальной сети ВКонтакте;
– предоставляет субъектам указанных персональных данных более детальную информацию о преимуществах собственных услуг посредством сервиса рассылок и чат-ботов Senler и иными средствами;
– предоставляет субъектам указанных персональных данных возможность получить первичную бесплатную консультацию Оператора посредством заполнения Формы сбора заявок (одно из приложений социальной сети ВКонтакте) и иными средствами;
– информирует субъектов указанных персональных данных о новых фото, видео, аудио, текстовых материалах, размещённых Оператором на его сайте, а также в его Сообществе в социальной сети ВКонтакте, о новых видах услуг Оператора, о наиболее выгодных предложениях.
4.4. Обработка Оператором персональных данных субъектов из категории «Пациенты, законные представители пациентов»
4.4.1. В отношении субъектов персональных данных из категории «Пациенты, законные представители пациентов», Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
В отношении пациентов обрабатываются следующие персональные данные:
– фамилия, имя, отчество;
– пол;
– возраст;
– дата и место рождения;
– адреса места жительства и регистрации;
– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
– данные страхового свидетельства государственного пенсионного страхования;
– гражданство;
– данные о состоянии здоровья;
– семейное и социальное положение;
– контактный телефон;
– адрес электронной почты;
– реквизиты полиса обязательного медицинского страхования;
– реквизиты полиса (договора) добровольного медицинского страхования;
– тип занятости;
– место работы;
– должность.
В отношении законных представителей пациентов обрабатываются следующие персональные данные:
– фамилия, имя, отчество;
– пол;
– возраст;
– дата и место рождения;
– адреса места жительства и регистрации;
– контрактный телефон;
– адрес электронной почты;
– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
– сведения о документе, который подтверждает полномочия законного представителя;
– данные страхового свидетельства государственного пенсионного страхования;
– гражданство;
– данные о состоянии здоровья, в том числе биометрические персональные данные;
– семейное и социальное положение;
– контактный телефон;
– адрес электронной почты;
– реквизиты полиса обязательного медицинского страхования;
– реквизиты полиса (договора) добровольного медицинского страхования;
– тип занятости;
– место работы;
– должность.
4.4.2. Указанные персональные данные необходимы и достаточны для подготовки, заключения и исполнения Оператором гражданско-правовых договоров с пациентами и законными представителями пациентов, а именно:
– оперативного взаимодействия с пациентами Оператора в процессе оказания соответствующих медицинских услуг, либо с их законными представителями в случае оказания медицинских услуг несовершеннолетним;
– оказания медицинских услуг, в том числе идентификации пациентов (заказчиков), отражения информации в медицинской документации, предоставления сведений страховым компаниям (в случае оплаты ими оказываемых услуг), предоставления установленной законодательством отчетности в отношении оказанных медицинских услуг;
– обеспечения возможности возврата Оператором денежных средств клиентам на основании статьи 32 Закона РФ от 07.02.1992 N 2300-I «О защите прав потребителей».
4.5. Обработка Оператором персональных данных субъектов из категории «Работники Оператора, кандидаты на трудоустройство, а также члены семей работников».
4.5.1. В отношении субъектов персональных данных из категории «Работники Оператора, кандидаты на трудоустройство, а также члены семей работников», Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
В отношении работников Оператора обрабатываются следующие персональные данные:
– фамилия, имя, отчество;
– пол;
– возраст;
– дата и место рождения;
– адреса места жительства и регистрации;
– контрактные телефоны (домашний, мобильный);
– адрес электронной почты;
– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
– сведения об образовании;
– сведения о трудовом и общем стаже;
– сведения о составе семьи;
– данные СНИЛС, ИНН;
– сведения о воинском учете;
– сведения о заработной плате сотрудника;
– сведения о социальных льготах;
– специальность;
– занимаемая должность;
– наличие судимостей;
– содержание трудового договора;
– состав декларируемых сведений о наличии материальных ценностей;
– содержание декларации, подаваемой в налоговую инспекцию;
– подлинники и копии приказов по личному составу;
– личные дела и трудовые книжки сотрудников;
– основания к приказам по личному составу;
– дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
– копии отчетов, направляемые в органы статистики;
– иная информация, позволяющая идентифицировать работников.
При оформлении кандидата на трудоустройство на работу в обработку Оператора могут попадать следующие его анкетные и биографические данные:
– общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
– сведения о воинском учете;
– данные о приеме на работу;
– сведения об аттестации;
– сведения о повышении квалификации;
– сведения о профессиональной переподготовке;
– сведения о наградах (поощрениях), почетных званиях;
– сведения об отпусках;
– сведения о социальных гарантиях;
– сведения о месте жительства и о контактных телефонах.
Персональные данные членов семей работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:
– фамилия, имя, отчество;
– дата и место рождения;
– серия и номер документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
– серия и номер свидетельства о рождении ребенка, сведения о выдаче указанного документа и выдавшем его органе;
– серия и номер свидетельства о заключении брака, сведения о выдаче указанного документа и выдавшем его органе.
4.5.2. Указанные персональные данные необходимы и достаточны для заключения и исполнения Оператором трудовых договоров с его работниками, ведения кадрового и бухгалтерского учета.
4.6. Обработка Оператором персональных данных субъектов из категории «Контрагенты, представители/работники контрагентов Оператора (юридических лиц)»
4.6.1. В отношении субъектов персональных данных из категории «Контрагенты, представители/работники контрагентов Оператора (юридических лиц)», Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
В отношении контрагентов Оператора – физических лиц обрабатываются следующие персональные данные:
– фамилия, имя, отчество;
– пол;
– возраст;
– дата и место рождения;
– адреса места жительства и регистрации;
– контактный телефон;
– адрес электронной почты;
– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
– ИНН;
– реквизиты банковского счёта.
– фамилия, имя, отчество;
– пол;
– возраст;
– дата и место рождения;
– адреса места жительства и регистрации;
– контрактный телефон;
– адрес электронной почты;
– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
– сведения о документе, который подтверждает полномочия представителя / работника контрагента Оператора;
– место работы;
– должность.
4.6.2. Указанные персональные данные необходимы и достаточны для заключения Оператором гражданско-правовых договоров с его контрагентами и взаимодействия с ними в рамках указанных гражданско-правовых договоров.
4.7. Деятельность Оператора напрямую связана с обработкой специальных категорий персональных, а именно сведений о состоянии здоровья пациентов. Обработка иных персональных данных из категории специальных Оператором не ведётся.
4.8. Обработка биометрических персональных данных Оператором не ведётся.
4.9. Трансграничная передача персональных данных не осуществляется Оператором.
5. Порядок и условия обработки персональных данных Оператором
5.1. Условием обработки персональных данных Оператором является конкретное, информированное, сознательное, предметное и однозначное согласие субъекта персональных данных на их обработку.
5.1.1. В отношении субъектов персональных данных из категории «Потенциальные клиенты» согласием на обработку персональных данных является нажатие кнопки с надписью «Отправить» в Форме сбора заявок (одно из приложений социальной сети ВКонтакте) и иных подобных программно-информационных средств на сайте Оператора.
Тот факт, что согласие субъектов персональных данных, полученное указанным способом, является конкретным, информированным, сознательным, предметным и однозначным, подтверждается размещением рядом с кнопкой «Отправить» в Форме сбора заявок активной ссылки на Политику обработки персональных данных ОБЩЕСТВОМ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЛЕЧЕБНО-ДИАГНОСТИЧЕСКИЙ ЦЕНТР «СЕМЕЙНАЯ КЛИНИКА «МЕДА» и пустого чекбокса для выражения такого согласия путём установки «галочки» (графический элемент).
5.1.2. В отношении субъектов персональных данных из категории «Пациенты, законные представители пациентов» согласием на обработку персональных данных является заключение ими договора на оказание медицинских услуг и оплата ими услуг Оператора.
Тот факт, что согласие субъектов персональных данных, полученное указанным способом, является конкретным, информированным, сознательным, предметным и однозначным, подтверждается подписанием формы такого согласия в качестве неотъемлемой части заключаемого договора.
5.1.3. В отношении субъектов персональных данных из категории «Работники Оператора, кандидаты на трудоустройство, а также члены семей работников» согласием на обработку персональных данных является заключение ими трудового договора с Оператором.
Тот факт, что согласие субъектов персональных данных, полученное указанным способом, является конкретным, информированным, сознательным, предметным и однозначным, подтверждается подписанием формы такого согласия в качестве неотъемлемой части заключаемого договора.
Кандидаты на трудоустройство впервые подписывают форму согласия на обработку их персональных данных до заключения трудового договора с Оператором и повторно при его заключении, в качестве неотъемлемой части такого договора.
5.1.4. В отношении субъектов персональных данных из категории «Контрагенты, представители/работники контрагентов Оператора (юридических лиц)» согласием на обработку персональных данных является заключение ими гражданско-правового договора с Оператором.
Тот факт, что согласие субъектов персональных данных, полученное указанным способом, является конкретным, информированным, сознательным, предметным и однозначным, подтверждается подписанием формы такого согласия в качестве неотъемлемой части заключаемого договора.
Заключая договора с контрагентами – юридическими лицами, Оператор возлагает обязанность по получению разрешения на передачу/получение персональных данных представителей/работников контрагента на самого контрагента, тем самым, уменьшая риск незаконного распоряжения персональными данными в рамках исполнения условий заключенного договора.
5.2. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, уничтожение персональных данных.
Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
5.2.1. В отношении субъектов персональных данных из категории «Потенциальные клиенты», их персональные данные в результате подписки на рассылку попадают в базу подписчиков Senler (либо иных сервисов, используемых на Сайте), после чего Оператор начинает их автоматизированную обработку с помощью сервиса.
Сроки такой обработки ограничены достижением целей, заявленных в ч. 2 настоящей Политики, а также наличием согласия субъектов персональных данных.
По достижении заявленных целей субъекты персональных данных из категории «Потенциальные клиенты» переходят в категорию «Пациенты, законные представители пациентов», в связи с чем Оператор прекращает обработку их персональных данных указанным способом.
Кроме того, Оператор предоставляет таким субъектам персональных данных отозвать своё ранее данное согласие на обработку персональных данных в любой момент, путём перехода по ссылке с названием «Отписаться», «Отказаться», «Не беспокоить» и иным подобным, близким по смыслу, содержанием.
5.2.2. В отношении субъектов персональных данных из категории «Пациенты, законные представители пациентов», Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку их персональных данных. Такие данные хранятся на машинных и бумажных носителях с соблюдением всех положенных по закону «О персональных данных» мер безопасности.
Сроки обработки персональных данных субъектов указанной категории ограничены достижением целей, заявленных в ч. 2 настоящей Политики, а также наличием согласия субъектов персональных данных.
По достижении заявленных целей субъекты персональных данных из категории «Пациенты, законные представители пациентов» могут перейти обратно в категорию «Потенциальные клиенты», либо вообще отозвать своё согласие на обработку Оператором их персональных данных.
5.2.3. В отношении субъектов персональных данных из категории «Работники Оператора, кандидаты на трудоустройство, а также члены семей работников», их персональные данные Оператор обрабатывает исключительно в рамках трудового законодательства РФ.
По завершении трудовых отношений их персональные данные блокируются Оператором на случай возможного возобновления договора и хранятся в течение срока, установленного действующим законодательством РФ.
5.2.4. В отношении субъектов персональных данных из категории «Контрагенты, представители/работники контрагентов Оператора (юридических лиц)», их персональные данные Оператор обрабатывает исключительно в момент заключения и в период действия гражданско-правовых договоров между ними и Оператором.
По завершении договорных отношений их персональные данные блокируются Оператором на случай возможного возобновления договора.
В период блокировки таких персональных данных, согласие на их обработку может быть отозвано контрагентом.
5.3. Оператор осуществляет обработку персональных данных, разрешённых для распространения, в соответствии с нормами ст. 10.1 закона «О персональных данных».
5.3.1. Обработка таких персональных данных заключается в размещении Оператором видео, аудио, текстовых отзывов пациентов о его услугах на Сайте, а также в его Сообществе в социальной сети ВКонтакте.
5.3.2. Согласие на обработку таких персональных данных Оператор получает отдельно от других согласий на обработку персональных данных субъектов из категории «Пациенты, законные представители пациентов», одновременно с получением соответствующих отзывов от них.
5.3.3. Согласие на обработку Оператором персональных данных, разрешённых для распространения, может быть отозвано субъектом таких персональных данных. В этом случае его отзыв, размещённый на сайте, а также в Сообществе Оператора в социальной сети ВКонтакте, должен быть удалён.
5.4. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
5.4.1. Доступ к персональным данным.
Доступ к персональным данным, поступившим в распоряжение Оператора, ограничивается работниками Оператора и не подлежит передаче за пределы территории Оператора без письменного согласия субъектов персональных данных.
Список лиц, имеющих право обрабатывать персональные данные с соблюдением законодательства РФ и настоящего документа, утверждается Приказом Генерального директора Оператора и поддерживается в актуальном состоянии.
Контрольно-надзорные органы имеют доступ к информации только в сфере своей компетенции.
5.4.2. Хранение персональных данных
Хранение персональных данных осуществляется Оператором на бумажных и электронных носителях в порядке, исключающем их утрату и/или их неправомерное использование.
Оператор обеспечивает безопасное хранение персональных данных работников и контрагентов на бумажных носителях в запирающемся шкафу, расположенном в запирающемся кабинете.
Хранение персональных данных пациентов на бумажных носителях (договоры, согласия, амбулаторные карты, заключения) осуществляется Оператором в медицинском центре в помещениях № 25-Н, а именно на архивных полках.
Хранение и обработка персональных данных пациентов в электронном виде осуществляется на компьютерах, на каждом из которых установлен логин и пароль. Доступ к персональным данным третьих лиц в электронной форме имеют только те сотрудники, у которых есть соответствующие обязанности согласно должностной инструкции.
Оператор обеспечивает безопасное хранение персональных данных работников и контрагентов в электронном виде на персональных компьютерах Генерального директора, главного врача, сотрудников отдела бухгалтерии и отдела кадров с ограниченным доступом. Пользование такой информацией на компьютерах осуществляется только при введении имени пользователя и пароля.
5.4.3. Защита персональных данных.
Защита персональных данных от неправомерного их использования или утраты обеспечивается Оператором за счет его средств в порядке, установленном федеральным законом.
Для обеспечения внутренней защиты персональных данных Оператор осуществляет следующий ряд мер:
1) ограничение и регламентация состава работников, функциональные обязанности которых связаны с доступом к персональным данным;
2) строгое избирательное и обоснованное распределение документов и информации между работниками;
3) рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
4) знание работником требований нормативно-методических документов по защите информации и сохранении тайны;
5) наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
6) организация порядка уничтожения информации или передачи в архив;
7) своевременное выявление нарушения требований разрешительной системы доступа к персональным данным;
8) проведение обучения для работников Оператора, имеющих доступ к персональным данным, по разъяснению норм действующего законодательства о персональных данных для предупреждения нарушений при работе с персональными данными и конфиденциальными документами. Обучение проводится ежегодно с проставлением отметок в Журнал обучения;
9) установление специального пароля для доступа к персональным данным, хранящимся на электронных носителях;
10) контроль за работой работников, имеющих доступ к персональным данным;
11) разработана Инструкция по работе пользователей информационных систем, содержащих персональные данные;
12) разработана Инструкция по работе с носителями персональных данных;
13) разработана Инструкция по организации антивирусной защиты информационных систем, содержащих персональные данные;
14) разработана Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем, содержащих персональные данные;
15) разработана Инструкция по работе ответственного за организацию обработки персональных данных;
16) разработана Инструкция по применению парольной политики в информационных системах персональных данных.
Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Оператора. Посторонние лица не знают распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, содержащих персональные данные.
Внешняя защита осуществляется путем установления:
— порядка приема, учета и контроля деятельности посетителей;
— технических средств охраны, сигнализации;
— порядка охраны помещений;
— требований к защите информации при интервьюировании и собеседованиях.
Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны не разглашать персональные данные.
По возможности персональные данные обезличиваются.
5.4.4. Оператор организует обработку персональных данных в следующем порядке:
1) назначает ответственного за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;
2) издает настоящую Политику, локальные акты по вопросам обработки персональных данных;
3) применяет правовые, организационные и технические мер по обеспечению безопасности персональных данных;
4) осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;
5) осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», определяет соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;
6) знакомит работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5.4.5. Порядок обработки персональных данных в информационных системах.
1) Обработка персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
2) Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций, осуществляется в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
3) Уполномоченному работнику, имеющему право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями работника.
4) Информация может вноситься как в автоматическом режиме при получении персональных данных с официального сайта в сети интернет, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
5) Обеспечение безопасности персональных данных, обрабатываемых в информационных системах органов, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
6) В случае выявления нарушений порядка обработки персональных данных уполномоченными работниками незамедлительно принимаются меры по установлению причин нарушений и их устранению.
7) В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
– идентификация и аутентификация субъектов доступа и объектов доступа;
– управление доступом субъектов доступа к объектам доступа;
– ограничение программной среды;
– защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
– регистрация событий безопасности;
– антивирусная защита;
– обнаружение (предотвращение) вторжений;
– контроль (анализ) защищенности персональных данных;
– обеспечение целостности информационной системы и персональных данных;
– обеспечение доступности персональных данных;
– защита среды виртуализации и технических средств;
– защита информационной системы, ее средств, систем связи и передачи данных;
– выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
– управление конфигурацией информационной системы и системы защиты персональных данных.
8) Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы первого типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы второго типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы третьего типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных».
9) В соответствии с пунктом 11 статьи 19 Федерального закона «О персональных данных» под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. При обработке персональных данных в информационных системах устанавливаются четыре уровня защищенности персональных данных.
10) Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
5.4.6. К системным администраторам применяются следующие требования:
1) В обязанности системного администратора входит управление учетными записями пользователей информационных систем, содержащих персональные данные, поддержание штатной работы таких систем, обеспечение резервного копирования таких данных, а также установка и конфигурирование аппаратного и программного обеспечения информационных систем, не связанного с обеспечением безопасности персональных данных, соблюдения следующих требований:
— требования конфиденциальности;
— требования целостности и доступности, предъявляемые к конкретной системе;
— требования безопасности, установленные действующим законодательством.
2) В обязанности системного администратора входит установка, конфигурирование и администрирование аппаратных и программных средств защиты информации информационных систем, учет и хранение машинных носителей персональных данных, периодический аудит и анализ защищенности систем, а также участие в служебных расследованиях фактов нарушения установленного порядка обработки и обеспечения безопасности персональных данных.
3) Квалификационные требования и детальный перечень прав и обязанностей системного администратора закрепляются в должностной инструкции, с которой сотрудник должен быть ознакомлен под личную подпись.
5.4.7. На общей территории медицинского центра Оператора, расположенного по адресу: 196601, Санкт-Петербург, Пушкин, ул. Архитектора Данини, 11/6, помещения 23-Н, 25-Н ведется видеонаблюдение, все телефонные разговоры записываются.
1) Видеофиксация со звукозаписывающим устройством ведется с целью:
— контроля качества работы работников;
— соблюдения условий безопасности в медицинском центре Оператора, являющемся общественным заведением;
— предотвращения нарушений требований законодательства работниками, пациентами и законными представителями пациентов, посещающими медицинский центр Оператора;
— охраны имущества Оператора.
2) При входе в медицинский центр Оператора происходит информирование всех входящих о производимой видеофиксации. Информирование заключается в наличии соответствующей вывески на видном месте.
3) Видеонаблюдение ведется на всей территории медицинского центра, в том числе в кабинетах врачей, являющимися работниками Оператора.
4) Запись видео осуществляется путем кольцевой записи на электронный носитель. Срок хранения записи – 2 недели. После окончания двухнедельного срока видеозапись стирается путем записи в память носителя новой записи.
5) Оператор имеет право пользоваться полученной информацией по своему усмотрению в пределах и в соответствии с законодательством РФ. Персональные данные, ставшие известными Оператору в результате ознакомления с видеозаписями, считаются полученными с согласия субъекта персональных данных, так как, соглашаясь войти в медицинский центр Оператора и увидев соответствующее предупреждение о видеофиксации, субъект автоматически дает свое согласие на обработку его изображения и персональных данных, которые можно получить путем обработки видеоизображения.
6) Доступ к записям видеонаблюдения имеют системный администратор, Генеральный директор, главный врач и старший администратор Оператора. На основании Приказа Генерального директора фрагменты видеозаписи могут быть записаны на постоянный носитель и/ или переданы другим лицам.
7) Запись телефонных разговоров, как внешних, так и внутренних, производится с целью контроля качества работы работников, с целью охраны законных интересов Оператора с целью контроля за соблюдением коммерческой тайны.
8) При осуществлении входящего звонка на телефонные номера Оператора происходит включение автоматического информирования о том, что телефонный разговор будет записан.
9) Оставаясь на линии после прослушивания информационного сообщения о том, что разговор будет записан, звонящий субъект автоматически дает согласие на аудиофиксацию разговора с работником Оператора. Работникам Оператора, звонящим друг другу по внутренней телефонной сети, аудиосообщение не включается для целей экономии времени.
10) Работники Оператора информируются о том, что разговоры записываются, единожды при приеме на работу.
11) Работник несет ответственность за ту информацию, которая может быть получена Оператором, исходя из прослушивания телефонного разговора.
12) Срок хранения телефонных аудиозаписей – 1 год. Запись разговоров осуществляется автоматически на электронный носитель. По истечении срока хранения аудиозапись стирается.
13) Доступ к аудиозаписи имеют системный администратор, Генеральный директор, главный врач и старший администратор Оператора. На основании Приказа Генерального директора фрагменты аудиозаписи могут быть записаны на постоянный носитель и/ или переданы другим лицам.
14) Оператор имеет право пользоваться полученной информацией по своему усмотрению. Персональные данные, ставшие известными Оператору в результате прослушивания аудиозаписей телефонных разговоров, считаются полученными с согласия субъекта персональных данных, так как, соглашаясь осуществить звонок, субъект автоматически дает свое согласие на обработку его голоса и тех персональных данных, которые можно получить в результате воспроизведения аудиозаписи.
5.4.8. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными.
Работники, имеющие доступ к персональным данным и виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Оператором, несут:
— дисциплинарную ответственность, в том числе путем применения дисциплинарного взыскания – увольнения за разглашение персональных данных;
— полную материальную ответственность за разглашение персональных данных;
— могут привлекаться к гражданско-правовой, административной и уголовной ответственности в соответствии с федеральными законами.
Иные работники, получившие несанкционированный доступ к персональным данным, и разгласившие эти данные 3-м лицам, тем самым нарушившие положения настоящей Политики, несут:
— дисциплинарную ответственность;
— материальную ответственность; — могут привлекаться к гражданско-правовой, административной и уголовной ответственности в соответствии с федеральными законами.
6. Актуализация, исправление, удаление и уничтожение Оператором персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. Ответы на запросы субъектов на доступ к персональным данным.
6.1.1. Субъект персональных данных имеет право на получение любой информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
6.1.2. Сведения, указанные в пункте 6.1.1., предоставляются субъекту персональных данных или его представителю Оператором в срок не более 10 рабочих дней при обращении лично либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать:
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
— сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
— подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа по электронной почте info@medaclinic.ru и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.1.3. Указанные выше сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.1.4. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 6.1.1., а также в целях ознакомления с обрабатываемыми персональными данными в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 6.1.1., должен содержать обоснование направления повторного запроса.
6.1.5. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 6.1.2. и 6.1.4. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
6.1.6. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных либо его представителя в срок не более 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя.
6.1.7. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
6.2. Актуализация, исправление, удаление и уничтожение Оператором персональных данных.
6.2.1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2.2. В срок, не превышающий 10 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.
6.2.3. В срок, не превышающий 10 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
6.2.4. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.2.5. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
6.2.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.2.7. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 10 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.2.8. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.2.9. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 10 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
6.2.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 10 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
6.2.11. В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.2.12. Бумажные носители информации, содержащие персональные данные, при достижении целей обработки, или при наступлении иных законных оснований, (например, увольнения, окончания срока действия или расторжения договора, отзыва согласия на обработку персональных данных субъектом), подлежат уничтожению в соответствии с законодательством РФ. В случаях, если Оператор предполагает, что персональные данные по каким-либо причинам могут потребоваться в будущем, то носители, содержащие такие данные, подлежат отправке в Архив, на основании Приказа.
6.2.13. Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста, или сжигаются. Уничтожение информации на электронных носителях происходит путем стирания или физического воздействия, вызывающего разрушение носителя.
6.2.14. Уничтожение производится в присутствии комиссии, состоящей минимум из трех человек, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов (состав комиссии утверждается Приказом).
6.2.15. После уничтожения материальных носителей членами комиссии подписывается Акт в двух экземплярах, в описях дел проставляется отметка «Уничтожено. Акт №__(дата)».
6.2.16. В случае отзыва субъектом персональных данных своего согласия, Оператор вправе продолжить обработку персональных данных без согласия субъекта, если это необходимо для целей исполнения заключенного с этим субъектом договора, а также в случаях, предусмотренных действующим законодательством.
Вопросы
Если у вас есть какие-либо вопросы в отношении Положения о конфиденциальности данного сайта в интернете или других аспектов обработки персональных данных на нашем сайте, пожалуйста, свяжитесь с нами по телефону +7(812) 459-03-20.