Политика в отношении обработки персональных данных в ООО «МедКвартал»
1. Общие положения
1.1. Настоящая политика в отношении обработки персональных данных (далее – ПДн) в Обществе с ограниченной ответственностью «МедКвартал» (далее – ООО «МедКвартал», Оператор) (далее – Политика) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в ООО «МедКвартал».
1.2. Политика определяет:
- основные вопросы, связанные с обработкой ПДн Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск ПДн, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях ПДн, и (или) доступ к таким ПДн;
- принципы, порядок и условия обработки ПДн работников Оператора и иных лиц, чьи персональные данные обрабатываются Оператором, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.
- Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Основные понятия
2.1. Основные понятия, используемые в данной политике
- ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
- Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
- Субъект персональных данных - физическое лицо, данные которого обрабатываются;
- Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
- Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
- Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
- Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
- Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн); - Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
- Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
- Информационная система персональных данных (далее ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
- Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Конфиденциальность персональных данных - обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.2. ООО «МедКвартал» осуществляет обработку ПДн в целях:
- обеспечения соблюдения законодательстваРФ всфере здравоохранения;
- обеспечения соблюдения трудового, налогового ипенсионного законодательства РФ;
- подбора персонала (соискателей) на вакантные должности оператора;
- ведения кадрового ибухгалтерского учета;
- подготовки, заключения и исполнения гражданско-правового договора;
- сбора статистических данных посетителей сайта;
- обработка предпочтений истатистика посещения посетителей официального сайта.
2.3. Обработка ПДн ООО «МедКвартал» осуществляется на основании пунктов 1, 2, 4 части 1 статьи 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» с согласия субъекта ПДн на обработку его ПДн.
3. Содержание и объем обрабатываемых персональных данных Содержание, и объем обрабатываемых персональных данных соответствует заявленным целям обработки:
3.1. Обеспечение соблюдения трудового законодательства Российской Федерации
3.1.1. Категории ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, сведения о состоянии здоровья, сведения о судимости.
3.1.2.Категории субъектов, ПДн которых обрабатываются: работники, родственники работников, уволенные работники.
3.1.3.Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн.
3.1.4. Перечень действий с ПДн: сбор, запись, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
3.1.5.Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
3.2. Обеспечение соблюдения налогового законодательства Российской Федерации.
3.2.1. Категории ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.
3.2.2. Категории субъектов, ПДн которых обрабатываются: работники, уволенные работники.
3.2.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
3.2.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, удаление.
3.2.5. Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
3.3. Обеспечение соблюдения пенсионного законодательства Российской Федерации.
3.3.1. Категории ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.
3.3.2. Категории субъектов, ПДн которых обрабатываются: работники, уволенные работники.
3.3.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
3.3.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, удаление.
3.3.5. Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
3.4. Подбор персонала (соискателей) на вакантные должности оператора.
3.4.1. Категории ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, гражданство, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения об образовании.
3.4.2. Категории субъектов, ПДн которых обрабатываются: соискатели.
3.4.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
3.4.4. Перечень действий с ПДн: сбор, использование, удаление, уничтожение
3.4.5. Способы обработки: смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет.
3.5. Ведение кадрового и бухгалтерского учета.
3.5.1. Категории ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, сведения о состоянии здоровья, сведения о судимости.
3.5.2. Категории субъектов, ПДн которых обрабатываются: работники, родственники работников, уволенные работники.
3.5.3. Правовое основание обработки ПДн: обработка персональных данных осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн.
3.5.4. Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
3.5.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
3.6. Подготовка, заключение и исполнение гражданско-правового договора.
3.6.1. Категории ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении.
3.6.2. Категории субъектов, ПДн которых обрабатываются: контрагенты, клиенты, законные представители.
3.6.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн.
3.6.4. Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение.
3.6.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
3.7. Обеспечение соблюдения законодательства РФ в сфере здравоохранения.
3.7.1. Категории ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, профессия, должность, отношение к воинской обязанности, сведения о воинском учете, сведения о состоянии здоровья.
3.7.2. Категории субъектов, ПДн которых обрабатываются: клиенты (пациенты), законные представители.
3.7.3. Правовое основание обработки ПДн: обработка персональных данных осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
3.7.4. Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение.
3.7.5. Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
3.8. Сбор статистических данных посетителей сайта https://medkvartal.ru/
3.8.1. Категории ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, адрес электронной почты, номер телефона.
3.8.2. Категории субъектов, ПДн которых обрабатываются: посетители сайта.
3.8.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
3.8.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, удаление.
3.8.5. Способы обработки: автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
3.9. Обработка предпочтений и статистика посещения официального сайта ООО «МедКвартал».
3.9.1. Обработка обезличенных данных посетителей официального сайта ООО «МедКвартал» - это сведения, собираемые посредством метрической программы Яндекс. Метрика (файлы «cookie»).
3.9.2. Категории субъектов, ПДн которых обрабатываются: посетители сайта https://medkvartal.ru/ .
3.9.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
3.9.4. Перечень действий с обезличенными данными: сбор, запись, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), удаление, уничтожение.
3.9.5. Способы обработки: автоматизированная сервисом интернет-статистики Яндекс.Метрика; без передачи по внутренней сети юридического лица (оператора); с передачей по сети Интернет.
3.10. Хранение персональных данных субъектов ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами ООО «МедКвартал»:
- ПДн, содержащиеся в приказах по личному составу ООО «МедКвартал» (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в отделе кадров ООО «МедКвартал» в течение 50 лет с последующим уничтожением;
- ПДн, содержащиеся в личных делах работников ООО «МедКвартал», хранятся в отделе ООО «МедКвартал» в течение 50 лет с последующим уничтожением;
- ПДн, содержащиеся в приказах о поощрениях, материальной помощи работникам ООО «МедКвартал», подлежат хранению в течение 5 лет с последующим уничтожением;
- ПДн, содержащиеся в приказах о предоставлении отпусков, о краткосрочных командировках, о дисциплинарных взысканиях работников ООО «МедКвартал», подлежат хранению в отделе кадров ООО «МедКвартал» в течение 5 лет с последующим уничтожением;
- сроки обработки и хранения ПДн, предоставляемых субъектами (пациентами) ООО «МедКвартал» в связи с оказанием медицинских услуг, определяются условиями достижения целей обработки ПДн, а также нормативными правовыми актами, регламентирующими порядок их сбора и обработки;
- срок хранения ПДн, внесенных в ИСПДн соответствует сроку хранения бумажных оригиналов.
3.11. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
3.12. При обработке ООО «МедКвартал» принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
3.13. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя ООО «МедКвартал» осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «МедКвартал») с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу ООО «МедКвартал» осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «МедКвартал») с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
3.14. В случае подтверждения факта неточности ООО «МедКвартал» на основании сведений, представленных субъектом ПДн или его представителем или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «МедКвартал») в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
3.15. В случае выявления неправомерной обработки ПДн, осуществляемой ООО «МедКвартал» или лицом, действующим по поручению ООО «МедКвартал»», ООО «МедКвартал» в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению ООО «МедКвартал». В случае, если обеспечить правомерность обработки ПДн невозможно, ООО «МедКвартал» в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ООО «МедКвартал» уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также уведомляет указанный орган.
3.16. В случае достижения цели обработки ООО «МедКвартал» прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «МедКвартал») и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «МедКвартал») в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ООО «МедКвартал» и субъектом ПДн, либо если ООО «МедКвартал» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
3.17. Сотрудники ООО «МедКвартал», виновные в нарушении требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.
4. Заключительные положения
4.1. К настоящей Политике обеспечивается неограниченный доступ.
4.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПДн, но не реже одного раза в три года.
4.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ООО «МедКвартал».
4.4. Ответственность должностных лиц ООО «МедКвартал», имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними документами ООО «МедКвартал».