Политика оператора в отношении обработки персональных данных

 

1. Общие положения

 1.1. Настоящий документ определяет политику Общества с ограниченной ответственностью «Медицинский центр «Визави» (ООО «МЦ «Визави»), ИНН 6323067860, адрес: 445009, г. Тольятти, ул. Октябрьская, д. 55А (далее – «оператор») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее – «Политика») в соответствии с требованиями ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

1.2. Политика оператора в отношении обработки персональных данных разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Основные понятия, используемые в Политике:

1.2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение.

1.2.3. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

1.2.4. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.2.5. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.2.6. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

1.2.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.2.8. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

1.2.9. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

1.2.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.2.11. Субъект персональных данных – физическое лицо, к которому прямо или косвенно относятся персональные данные.

1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1

10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

1.5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.6. Субъект персональных данных вправе, в том числе, отозвать согласие на обработку персональных данных путем направления соответствующего запроса по адресу электронной почты оператора medcentrvizavi@mail.ru, при условии подписания отзыва квалифицированной электронной подписью в порядке, предусмотренном частью 1 статьи 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», или путем направления соответствующего заявления на почтовый адрес оператора 445009, г. Тольятти, ул. Октябрьская, д. 55А.

1.7. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных». При получении запроса субъекта персональных данных о получении информации, касающейся обработки персональных данных, оператор обязуется безвозмездно в доступной форме предоставить субъекту такую информацию в срок, установленный законодательством.

1.8. Оператор персональных данных вправе:

- отстаивать свои интересы в суде;

- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

1.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».

1.10. Оператор блокирует персональные данные на период внутренней проверки в случае выявления:

- Неправомерной обработки персональных данных;

- Неточных персональных данных;

- Отсутствия возможности уничтожения персональных данных в течение срока, установленного законодательством в области персональных данных или в локальных нормативных актах.

1.11. Оператор обязуется прекратить обработку и уничтожить персональные данные в следующих случаях:

- невозможности обеспечить правомерную обработку персональных данных;

- при достижении цели обработки персональных данных;

- истечения срока действия или отзыва субъектом персональных данных согласия на обработку персональных данных;

- истечения установленного срока обработки персональных данных.

1.12. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.

1.13. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

1.14. В случае возникновения любых вопросов и обращений касательно обработки персональных данных, субъект персональных данных может обратиться по адресу электронной почты medcentrvizavi@mail.ru, либо направить письменное обращение на почтовый адрес оператора: 445009, г. Тольятти, ул. Октябрьская, д. 55А.

2. Цели сбора персональных данных

 2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

2.3. Оператор обрабатывает персональные данные в следующих целях:

Цель 1	Ведение кадрового и бухгалтерского учета
Категории персональных данных	Персональные данные : фамилия, имя, отчество (при наличии); пол; гражданство; дата, год, место рождения; семейное положение; данные паспорта или документа, удостоверяющего личность серия, номер, дата выдачи, наименование органа, выдавшего документ); адрес регистрации по месту жительства и фактического проживания; адрес электронной почты; идентификационный номер налогоплательщика ИНН); номер страхового свидетельства государственного пенсионного страхования (СНИЛС); данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; должность; размер заработной платы (материальной помощи или других денежных выплат) и период, за который производится выплата; сведения об исчисленных и уплаченных налогах; сведения о страховых взносах; налоговый период, в котором работнику предоставляется вычет; вид налогового вычета и его размер.
Категории субъектов ПДн	Работники, родственники работников, уволенные работники
Перечень действий	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Сроки обработки и хранения	5 лет (50/75 лет при отсутствии лицевых счетов или ведомостей начисления заработной платы) (согласно Перечня, утвержденного Приказом Росархива от 20.12.2019 № 236).
Способы обработки	смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 2	Обеспечение соблюдения налогового законодательства РФ
Категории персональных данных	Персональные данные : фамилия, имя, отчество (при наличии); пол; гражданство; дата, год, место рождения; данные паспорта или документа, удостоверяющего личность серия, номер, дата выдачи, наименование органа, выдавшего документ); адрес регистрации по месту жительства и фактического проживания; адрес электронной почты; идентификационный номер налогоплательщика ИНН); номер страхового свидетельства государственного пенсионного страхования (СНИЛС); реквизиты банковской карты; номер лицевого счета; должность; размер заработной платы (материальной помощи или других денежных выплат) и период, за который производится выплата; сведения об исчисленных и уплаченных налогах; сведения о страховых взносах; налоговый период, в котором работнику предоставляется вычет; вид налогового вычета и его размер.
Категории субъектов ПДн	Работники
Перечень действий	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Сроки обработки и хранения	6 лет (50/75 лет при отсутствии лицевых счетов или ведомостей начисления заработной платы) (согласно Перечня, утвержденного Приказом Росархива от 20.12.2019 № 236).
Способы обработки	смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель № 3	Обеспечение соблюдения пенсионного законодательства
Категории персональных данных	Персональные данные : фамилия, имя, отчество (при наличии); пол; гражданство; дата, год, место рождения; данные паспорта или документа, удостоверяющего личность серия, номер, дата выдачи, наименование органа, выдавшего документ); адрес регистрации по месту жительства и фактического проживания; идентификационный номер налогоплательщика ИНН); номер страхового свидетельства государственного пенсионного страхования (СНИЛС); реквизиты банковской карты; номер лицевого счета; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения об образовании
Категории субъектов ПДн	Работники
Перечень действий	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Сроки обработки и хранения	5 лет (50/75 лет при отсутствии лицевых счетов или ведомостей начисления заработной платы).
Способы обработки	смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 4	Обеспечение соблюдения законодательства РФ в сфере здравоохранения
Категории персональных данных	фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
Специальные категории персональных данных	сведения о состоянии здоровья; сведения о судимости;
Категории субъектов ПДн	Работники; Клиенты; Законные представители;
Перечень действий	сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; удаление; уничтожение; распространение;
Сроки обработки и хранения	25/50 лет (согласно Перечня документов, образующихся в деятельности Министерства здравоохранения РФ и подведомственных ему организаций, с указанием сроков хранения, утв. приказом Минздрава России от 3 августа 2023 г. №408)
Способы обработки	смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 5	Подготовка, заключение и исполнение гражданско-правового договора
Категории персональных данных	фамилия, имя, отчество; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; данные документа, удостоверяющего личность; реквизиты банковской карты; номер лицевого счета; номер расчетного счет; должность
Категории субъектов ПДн	Контрагенты, представители контрагентов, клиенты, выгодоприобретатели по договорам
Перечень действий	сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; удаление; уничтожение; распространение;
Сроки обработки и хранения	5 лет (Постановление Правительства РФ от 11.05.2023 №736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»)
Способы обработки	смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 6	Обеспечение пропускного режима на территорию оператора
Категории персональных данных	Фамилия, имя, отчество; должность;
Биометрические персональные данные	Данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных;
Категории субъектов ПДн	Работники;
Перечень действий	сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; удаление; уничтожение; распространение;
Сроки обработки и хранения	Не более 30 дней (п. 4 ст. 21 ФЗ № 152-ФЗ от 27.07.2006 г.) с даты увольнения работника
Способы обработки	смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 7	Подбор персонала (соискателей) на вакантные должности оператора
Категории персональных данных	Персональные данные : фамилия, имя, отчество (при наличии); пол; гражданство; дата, год, место рождения; семейное положение; данные паспорта или документа, удостоверяющего личность серия, номер, дата выдачи, наименование органа, выдавшего документ); адрес регистрации по месту жительства и фактического проживания; адрес электронной почты; номер телефона; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; профессия; должность; сведения о трудовой занятости на текущее время с указанием наименования и расчетного счета организации).
Специальные категории персональных данных	Сведения о судимости
Категории субъектов ПДн	Соискатели;
Перечень действий	сбор; хранение; уточнение (обновление, изменение); извлечение; уничтожение;
Сроки обработки и хранения	Не более 30 дней (п. 4 ст. 21 ФЗ № 152-ФЗ от 27.07.2006 г.) с даты принятия решения об отказе в трудоустройстве
Способы обработки	смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 8	Продвижение товаров, работ, услуг на рынке
Категории персональных данных	Персональные данные : фамилия, имя, отчество (при наличии); дата, год, месяц рождения; номер телефона; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании.
Биометрические персональные данные	Данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных;
Категории субъектов ПДн	Работники; Клиенты; Законные представители;
Перечень действий	сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; удаление;
Сроки обработки и хранения	Не более 30 дней (п. 4 ст. 21 ФЗ № 152-ФЗ от 27.07.2006 г.) с даты прекращения оказания услуг, выполнения работ
Способы обработки	смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 9	Обеспечение соблюдения законодательства РФ о противодействии терроризму
Биометрические персональные данные	Данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных;
Категории субъектов ПДн	Работники; Клиенты; Законные представители; Иные категории субъектов персональных данных, персональные данные которых обрабатываются; Посетители медицинского центра
Перечень действий	сбор; запись; хранение; использование; передача (предоставление, доступ); удаление; уничтожение
Сроки обработки и хранения	3 месяца
Способы обработки	автоматизированная; без передачи по внутренней сети юридического лица; без передачи по сети Интернет;
Порядок уничтожения	автоматизированное уничтожение персональных данных, без возможности восстановления, при цикличном режиме записи
Цель 10	Сбор сведений об использовании веб-сайта Общества
Категории персональных данных	сведения, собираемые посредством метрических программ;
Категории субъектов ПДн	посетители сайта;
Перечень действий	сбор; передача (предоставление, доступ); блокирование;
Сроки обработки и хранения	не более 30 дней (п. 4 ст. 21 ФЗ № 152-ФЗ от 27.07.2006 г.) с даты достижения цели обработки, либо до истечения срока действия согласия/отзыва предоставленного субъектом персональных данных согласия на обработку его персональных данных, если иное не установлено законодательством
Способы обработки	автоматизированная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможностью их восстановления
Цель 11	Предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте Общества
Категории персональных данных	фамилия, имя, отчество; номер телефона;
Категории субъектов ПДн	Посетители сайта;
Перечень действий	сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; удаление;
Сроки обработки и хранения	не более 30 дней (п. 4 ст. 21 ФЗ № 152-ФЗ от 27.07.2006 г.) с даты достижения цели обработки, либо до истечения срока действия согласия/отзыва предоставленного субъектом персональных данных согласия на обработку его персональных данных, если иное не установлено законодательством
Способы обработки	автоматизированная; без передачи по внутренней сети юридического лица; без передачи по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможностью их восстановления
Цель 12	Обеспечение соблюдения трудового законодательства РФ
Категории персональных данных	фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании;
Специальные категории персональных данных	сведения о состоянии здоровья; сведения о судимости
Категории субъектов ПДн	Работники; Родственники работников; Уволенные работники;
Перечень действий	сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение;
Сроки обработки и хранения	документы, законченные делопроизводством после 01.01.2003, хранятся 50 лет, документы, законченные делопроизводством до указанной даты, хранятся 75 лет (согласно Перечня, утвержденного Приказом Росархива от 20.12.2019 № 236)
Способы обработки	смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 13	Добровольное медицинское страхование
Категории персональных данных	фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); реквизиты полиса ДМС
Специальные категории персональных данных	сведения о состоянии здоровья;
Категории субъектов ПДн	Клиенты; Законные представители;
Перечень действий	сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; удаление; уничтожение;
Сроки обработки и хранения	25/50 лет (согласно Перечня документов, образующихся в деятельности Министерства здравоохранения РФ и подведомственных ему организаций, с указанием сроков хранения, утв. приказом Минздрава России от 3 августа 2023 г. №408)
Способы обработки	смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных
Цель 14	Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
Категории персональных данных	фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность
Специальные категории персональных данных	сведения о состоянии здоровья;
Категории субъектов ПДн	Клиенты; Законные представители;
Перечень действий	сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; удаление; уничтожение;
Сроки обработки и хранения	25/50 лет (согласно Перечня документов, образующихся в деятельности Министерства здравоохранения РФ и подведомственных ему организаций, с указанием сроков хранения, утв. приказом Минздрава России от 3 августа 2023 г. №408)
Способы обработки	смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет;
Порядок уничтожения	производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных

3. Правовые основания обработки персональных данных

 3.1. Правовым основанием обработки персональных данных являются:

- совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации; Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее также – «Закон о персональных данных»), Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 N 323-ФЗ; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

- уставные документы оператора;

- договоры, заключаемые между оператором и субъектом персональных данных или его представителем;

- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

 4.1. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных".

4.3. Обработка персональных данных оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

4.4. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.5. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

4.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных или ликвидация оператора.

4.7. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора.

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».

Кроме того, оператор вправе передавать персональные данные только по мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства: в судебные органы в связи с осуществлением правосудия; в органы федеральной службы безопасности; в органы прокуратуры; в органы полиции; в иные органы и организации в случаях, установленных нормативными правовыми актами, отраслевыми стандартами, обязательными для исполнения.

4.8. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, предусмотренных федеральным законодательством.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

4.9. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.

4.10. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 

5. Порядок и условия обработки персональных данных

5.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

5.2. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

5.3. Обработка биометрических персональных данных осуществляется оператором в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии с Федеральным законом «О персональных данных».

5.4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

5.5. Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.

5.6. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.

5.7. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.

5.8. Оператор обязан:

- осуществлять учет количества экземпляров материальных носителей;

- осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

5.9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:

- доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;

- применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;

- проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.

5.10. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

6. Порядок и условия обработки биометрических персональных данных

6.1. Обработка, в том числе хранение, персональных данных осуществляется оператором не дольше, чем этого требуют цели обработки персональных данных.

6.2. Хранение персональные данных осуществляется на материальных (бумажных) носителях и в электронном виде.

6.3. Право доступа к определенным персональным данным субъектов имеют (получают) работники оператора, которым это необходимо для выполнения их должностных обязанностей и которые наделены соответствующими полномочиями и правами доступа к персональным данным в соответствии с внутренним нормативным документом оператора.

6.4. При организации хранения материальных носителей персональных данных соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

6.5. Хранение персональных данных может осуществляться в течение срока, установленного:

- договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- согласием субъекта персональных данных,

- применимым законодательством РФ;

- локальным нормативным актом оператора, регламентирующим порядок и сроки хранения документов, содержащих персональные данные.

6.6. Оператором организуется хранение персональных данных в течение времени, установленного требованиями законодательства, регулирующими архивное хранение, и иными нормативными актами, содержащими нормы о хранении персональных данных.

6.7. При достижении целей обработки персональных данных, а также в случае отзыва согласия на обработку, персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или законодательством РФ;

- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иными федеральными законами.

6.8. Уничтожение документов, содержащих персональные данные, производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных.

 

7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, выполнения положений договора гражданско-правового характера, стороной которого является субъект персональных данных, и в связи с оказанием оператором услуг, является конфиденциальной информацией и охраняется действующим законодательством РФ.

7.2. Лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.

7.3. Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьим лицам без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.

7.4. Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.