Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных

  1.   ОБЩИЕ ПОЛОЖЕНИЯ
    • Политика в отношении обработки персональных данных общества с ограниченной ответственностью «Медицинский центр «Капитал-полис» (далее — Политика) разработана в соответствии с требованиями Федерального Закона Российской Федерации № 152 «О персональных данных» от 27 июля 2016 года.
    • Настоящая Политика определяет комплекс организационно-технических и иных мер по обеспечению безопасности персональных данных в рамках деятельности Общества с ограниченной ответственностью «Медицинский центр «Капитал-полис» (далее — Общество) с целью защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, направлена на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
    • Общество осуществляет обработку персональных данных на основании:
    • Федерального Закона Российской Федерации № 152 «О персональных данных» от 27 июля 2016 года;
    • Налоговый кодекс Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Трудовой кодекс Российской Федерации;
    • Федеральный закон № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 года;
    • Договоров страхования и иных договоров, а так же трудовых договоров, заключенных с субъектами персональных данных;
    • Письменного согласия субъектов персональных данных на обработку их персональных данных.
      • Основные понятия, используемые в настоящей политике:
    • Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
    • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
    • Информационная система персональных данных – совокупность содержащихся в базах персональных данных и обеспечивающих их обработку технологий и технических средств;
    • Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
    • Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, актуализацию, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение персональных данных;
    • Оператор – уполномоченный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а так же определяющее цели обработки персональных данных, их состав, подлежащих обработке, действия, совершаемые с персональными данными;
    • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
    • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
    • Распространение персональных данных – действий, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным иным способом;
    • Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных;
    • Файлы Cookie – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя.
  2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
    • При обработке персональных данных Общество руководствуется следующими принципами:
    • При обработке персональных данных Общество руководствуется следующими принципами:
    • Обеспечение законности целей и способов обработки персональных данных;
    • Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
    • Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
    • Обеспечение достоверности обрабатываемых персональных данных;
    • Отсутствие избыточных персональных данных по отношению к заявленным целям при сборе персональных данных;
    • Уничтожение либо обезличивание персональных данных при достижении целей их обработки или в случае утраты необходимости в достижении этих целей;
    • Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
      • Общество производит обработку персональных данных при наличии хотя бы одного из следующих условий:
      • Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
      • Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей, в том числе для целей опубликования или обязательного раскрытия персональных данных;
      • Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
      • Обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
      • Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
      • Обработка Обществом специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, интимной жизни, допускается исключительно с письменного согласия субъекта персональных данных, либо если персональные данные сделаны общедоступными субъектом персональных данных.
  3. ПЕРЕЧЕНЬ ДЕЙСТВИЙ, ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
    • Перечень действий, осуществляемых в Обществе с персональными данными, составляют: обработка, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, уничтожение, удаление.
    • Действий, осуществляемые в Обществе с персональными данными, производятся с использованием средств автоматизации либо без использования таковых средств.
    • Сбор и обработка персональных данных в Обществе осуществляется для целей:
    • Реализации полномочий и выполнения обязанностей, возлагаемых на Оператора персональных данных действующим законодательством Российской Федерации, а также локальными правовыми актами Общества;
    • Регулирования трудовых отношений между Обществом и работниками, в том числе в целях отбора кандидатов на работу, обучения, обеспечения сохранности имущества Общества, очередности предоставления отпусков, установления и расчета размера заработной платы, страхования работников, оформления страховых свидетельств государственного пенсионного страхования, обеспечения безопасности работников, соблюдением корпоративной культуры Общества, а также в иных целях, необходимых Компании в связи с трудовыми отношениями. Обработка персональных данных субъектов персональных данных, работающих по договорам гражданско-правового характера, осуществляется в целях контроля количества и качества выполняемой работы, выполнения договорных обязательств Компании перед субъектом персональных данных;
    • Осуществления деятельности по оказанию медицинской помощи в соответствии лицензией;
    • Осуществления инвестиционной деятельности, включая операции с ценными бумагами;
    • Изучения конъюнктуры рынка медицинских услуг, проведения научно-исследовательских, социологических, работ;
    • Организации рекламно-издательской деятельности;
    • Предоставление доступа посетителю на сайт Компании с целью получения информации об услугах.
  4. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
    • Общество обязуется соблюдать конфиденциальность обрабатываемых персональных данных и не раскрывать персональные данные без согласия субъектов персональных данных;
    • Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
    • Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ № 152 «О персональных данных», возлагается на Общество.
    • Субъект персональных данных имеет право:
    • Получать от Общества информацию, касающуюся наличия и обработки его, в том числе о правовых основаниях и целях обработки персональных данных, о применяемых Обществом способах обработки персональных данных, о перечне обрабатываемых персональных данных о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Общества или на основании федерального закона, о сроках обработки и хранения персональных данных, а также на получение иную информацию, предусмотренную ФЗ № 152 «О персональных данных»;
    • Требовать уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не соответствуют заявленной цели обработки;
    • Отозвать своё согласие на обработку персональных данных;
    • Требовать от Общества устранения неправомерных действий в отношении его персональных данных, в том числе путём возмещения убытков и/или компенсации морального вреда;
    • Обжаловать действия или бездействие Общества в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций или в судебном порядке.
      • Общество обязано:
    • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, иных неправомерных действий в отношении.
    • Предоставить по запросу субъекта персональных данных информацию, указанную в абз. 2 п. 4.4. настоящей Политики, с учётом ограничений, установленных в ФЗ № 152 «О персональных данных»;
    • Разъяснить субъекту персональных данных юридические последствия отказа предоставления персональных данных, если предоставление персональных данных является обязательным в соответствии с ФЗ № 152 «О персональных данных»;
    • Обеспечить неограниченный доступ к настоящей Политике;
    • Предоставить субъектам персональных данных и/или их представителям возможность безвозмездно знакомиться со своими персональными данными при обращении с соответствующим запросом в установленный действующим законодательством срок;
    • Осуществить блокирование или обеспечить блокирование персональных данных, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании, неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных;
    • Уточнить или обеспечить уточнение персональных данных, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании, в течение 7 рабочих дней со дня представления сведений субъектом персональных данных или его представителем;
    • Прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании, в случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
    • Прекратить обработку или обеспечить прекращение обработки персональных данных, если обработка персональных данных осуществляется другим лицом, действующим по договору с Компанией, в случае достижения цели обработки, если иное не предусмотрено действующим законодательством Российской Федерации;
    • В случае отзыва субъектом персональных данных согласия на обработку персональных данных прекратить (обеспечить прекращение) обработку персональных данных и уничтожить (обеспечить уничтожение) персональных данных.
  5. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕЧЕНЬ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
    • В состав обрабатываемых персональных данных входят: фамилия; имя; отчество; год рождения; месяц рождения; дата рождения; место рождения; место регистрации; адрес; семейное положение; социальное положение; фотографическое изображение; сведения о трудовой деятельности; сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу; имущественное положение; образование; доходы; состояние здоровья; результаты выполненных медицинских исследований; пол; реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения); гражданство; номер страхового свидетельства государственного пенсионного страхования; сведения о страховом полисе; адрес электронной почты; номера телефонов; файлы cookie; данные о поведении и предпочтениях пользователей.
    • Компания осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
    • Кандидаты на вакантные должности, работники Общества (в том числе работающие по договорам гражданско-правового характера), лица, прекратившие трудовые отношения с Обществом, родственники работников Общества;
    • Физические лица, являющиеся клиентами Общества;
    • Работники, должностные лица, представители сторонних организаций различных форм собственности;
    • Акционеры, учредители, аффилированные лица;
    • Посетители офисов Общества и официального сайта Общества в сети Интернет.
  6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
    • Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения соответствия требованиям действующего законодательства Российской Федерации в сфере защиты персональных данных.
    • В целях обеспечения безопасности персональных данных Обществом реализованы следующие меры:
    • Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
    • Внедрена система защиты персональных данных;
    • Используются сертифицированные средства защиты информации в составе системы защиты персональных данных;
    • Назначены уполномоченные сотрудники, ответственные за обеспечение безопасности персональных данных в Обществе;
    • Осуществляется контроль соблюдения требований обеспечения безопасности персональных данных;
    • Ограничен состав работников, обрабатывающих персональные данные и установлены правила доступа к персональным данным;
    • Определены места хранения материальных носителей, содержащих персональные данные;
    • Ограничен доступ в помещения, в которых хранятся материальные носители, содержащие персональные данные;
    • Ведется список сотрудников, обладающих доступом к материальным носителям, содержащим персональные данные;
    • Проведены мероприятия по технической защите персональных данных;
    • Применяется межсетевое экранирование;
    • Ведётся обнаружение вторжений в корпоративную сеть Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
    • Производится резервное копирование информации;
    • Производится обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
    • Регистрация и учёт действий пользователей информационных систем персональных данных;
    • Использование антивирусных средств и средств восстановления;
    • Осуществление аутентификации пользователей при запуске рабочего компьютера;
    • Обеспечение учёта и хранения материальных носителей персональных данных и установление порядка обращения с ними, направленного на предотвращение их хищения, подмены, несанкционированного копирования и уничтожения;
    • Проверка готовности и эффективности использования средств защиты информации;
    • Парольная защита доступа пользователей к информационной системе персональных данных;
    • Разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
    • Применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
    • Применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи;
    • Централизованное управление системой защиты персональных данных;
  7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
    • Иные права и обязанности Общества как оператора персональных данных определяются действующим законодательством Российской Федерации в сфере персональных данных.
    • Должностные лица Общества, виновные в нарушении норм и требований, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном действующим законодательством Российской Федерации.
    • Осуществляемое Обществом создание фото- и видеоизображений производится с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов и последующей передачи в правоохранительные органы в случае необходимости. При этом указанные изображения не используются с целью идентификации субъектов персональных данных и не рассматриваются Обществом, как биометрические персональные данные.