Политика в отношении обработки персональных данных

1.1. Настоящей Политикой определяется порядок обращения с персональными данными (далее – ПД) работников Общества с ограниченной ответственностью «Косметологическая лечебница» и клиентов – представителей юридических и физических лиц (далее – Клиенты) Общества с ограниченной ответственностью «Косметологическая лечебница» (далее – ООО «Косметологическая лечебница», Общество).
1.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Общества, ее работников и Клиентов ООО «Косметологическая лечебница» (далее совместно – субъект ПД) в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих ПД.
1.3. Персональные данные работника, Клиента - любая информация, относящаяся к конкретному работнику, Клиенту (субъекту персональных данных) и необходимая Обществу в связи с трудовыми и гражданско-правовыми отношениями.
1.4. Сведения о ПД работников, Клиентов относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества). Режим конфиденциальности в отношении персональных данных снимается:
в случае их обезличивания;
в других случаях, предусмотренных федеральными законами.
1.5. Настоящая Политика подлежит корректировке при изменении законодательства и нормативно-правовых актов, по рекомендациям надзорных органов, по результатам проверок в рамках государственного контроля (надзора), а также в целях закрепления наработанной Обществом практики операций с ПД.

2.1. Целью обработки, включая сбор, запись, систематизацию, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, является оказание медицинских услуг и исполнение обязательств Общества перед субъектом персональных данных по договору с ним, связь с субъектом персональных данных в случае необходимости, а также выполнение условий трудового договора с работниками Общества в соответствии с законодательством.
2.2. Целью обработки персональных данных также является реализация государственной политики в сфере охраны здоровья граждан, в том числе в системе обязательного медицинского страхования.

3.1. При обработке персональных данных Общество придерживается следующих принципов:

- соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;

- ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

- сбор только тех персональных данных, которые необходимы для достижения заявленных целей обработки;

- выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;

- соблюдение прав субъекта персональных данных на доступ к его персональным данным;

- соответствие сроков хранения персональных данных заявленным целям обработки.

3.2. Общество вправе поручить обработку персональных данных субъектов персональных данных третьим лицам, на основании заключаемого с этими лицами договора.
Лица, осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные ФЗ № 152-ФЗ «О персональных данных», а также настоящей Политики Общества.
3.3. В случаях, установленных законодательством Российской Федерации, Общество вправе осуществлять передачу персональных данных субъектов персональных данных.
3.4. В целях информационного обеспечения в Обществе могут создаваться общедоступные источники персональных данных работников, в том числе и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.
3.5. Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.

В Политике применяются термины и определения в соответствии с Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных», «Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденном Постановлением Правительства РФ от 17.11.2007г. № 781, «Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15.09.2008г. № 687.

5.1. Состав ПД работника Общества:
5.1.1. Информация, представляемая работником при поступлении на работу в Общество, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет:
паспорт или иной документ, удостоверяющий личность;
трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

страховое свидетельство государственного пенсионного страхования;

документы воинского учета - для лиц, подлежащих воинскому учету;

документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

свидетельство о присвоении ИНН (при его наличии у работника);

сведения, которые характеризуют физиологические и биологические особенности человека, на основании которого можно установить его личность и которые используются Обществом для установления личности работника Общества.
К числу таких данных могут относиться среди прочего видеозаписи внутренних систем телевидения, ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца – работника Общества.

При оформлении работника отделом кадров или лицом, уполномоченным вести кадровую работу заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:

- общие сведения (Ф. И. О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

- сведения о воинском учете;

- данные о приеме на работу;

- сведения об аттестации;

- сведения о повышенной квалификации;

- сведения о профессиональной переподготовке;

- сведения о наградах (поощрениях), почетных званиях;

- сведения об отпусках;

- сведения о социальных гарантиях;

- сведения о месте жительства и о контактных телефонах.

В Обществе создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

Документы, содержащие персональные данные работников:

- комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

- подлинники и копии приказов (распоряжений) по кадрам;

- личные дела и трудовые книжки;

- дела, содержащие основания к приказу по личному составу;

- дела, содержащие материалы аттестаций работников;

- дела, содержащие материалы внутренних расследований;

- справочно-информационный банк данных по персоналу (картотеки, журналы);

- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений;

- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;

Документация по организации работы:

- должностные инструкции работников;

- приказы, распоряжения, указания руководства Общества;

- документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

5.2.1. ПД Клиентов Общества – это любая информация, относящаяся прямо или косвенно к определенному или определяемому Клиенту Общества – физическому лицу, в том числе:

- сведения, касающиеся состояния здоровья Клиента (как прежнее, так и текущее);

- сведения, которые характеризуют физиологические и биологические особенности человека, на основании которого можно установить его личность и которые используются Обществом для установления личности Клиента. К числу таких данных могут относиться среди прочего видеозаписи внутренних систем телевидения, ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца – Клиента Общества;

- Ф. И. О. Клиента, дата и место рождения;

- паспортные данные или данные иного документа, удостоверяющего личность и гражданство;

- адрес места жительства (по паспорту и фактический);

- номера телефонов (мобильного и домашнего);

- содержание и реквизиты гражданско-правового договора с Клиентом Общества, в котором он является стороной по договору;

- сведения, являющиеся общедоступными или сделанные таковыми с письменного согласия Клиента.

6.1. Обработка ПД работника Общества:
6.1.1. Источником информации обо всех ПД работника является непосредственно работник. Если ПД возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Общество обязано сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о последствиях отказа работника дать письменное согласие на их получение.
Общество не имеет права получать и обрабатывать ПД работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Общество вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Обработка ПД работников Обществом возможна без их согласия в следующих случаях:

- ПД являются общедоступными;

- ПД относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

- по требованию полномочных государственных органов - в случаях, предусмотренных законодательством РФ.
Общество вправе обрабатывать ПД работников только с их письменного согласия.

Письменное согласие работника на обработку своих ПД должно включать в себя:

- фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта ПД;
- цель обработки ПД;
- перечень ПД, на обработку которых дается согласие субъекта ПД;
- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие работника не требуется в следующих случаях:

- обработка ПД осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, ПД данные которых подлежат обработке, а также определенного полномочия Общества;

- обработка ПД в целях исполнения трудового договора;

- обработка ПД осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;

- обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
Работник Общества представляет в ООО «Косметологическая лечебница» достоверные сведения о себе.
Защита ПД работника от неправомерного их использования, утраты обеспечивается Обществом за счет его средств, в порядке, установленном законодательством РФ.
6.2. Обработка ПД Клиента Общества:
6.2.1. Общество осуществляет Обработку ПД Клиентов Общества в целях соблюдения законодательства Российской Федерации.
Обработку ПД Клиентов осуществляют сотрудники Общества, уполномоченные на то должностными инструкциями, иными внутренними документами Общества или организационно-распорядительными документами Общества.
Сотрудники Общества, осуществляющие обработку ПД Клиентов, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами. В рамках информирования сотрудников Общества о факте обработки ПД, Общество обязывает сотрудников изучать и соблюдать нормативно-правовые акты, регламентирующие порядок работы с ПД.
Обработка ПД Клиентов Общества осуществляется с их согласия на обработку их ПД, а также в иных случаях, предусмотренных Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных».
Согласие на обработку ПД может быть дано в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством РФ. В соответствии со статьей 158 Гражданского кодекса РФ конклюдентное или подразумеваемое согласие – это действие лица, выражающие его волю установить правоотношения (например, заключить договор), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении, такие как:
- заполнение анкет, изучение возможности получения медицинской услуги, в том числе
- получение услуги, которая является предметом договора, заключенного между Обществом и Клиентом Общества.
При недееспособности Клиента письменное согласие на обработку его данных дает его законный представитель.
Клиент Общества может в любой момент отозвать свое согласие на обработку ПД при условии, что подобная процедура не нарушает требований законодательства РФ и допускается условиями договора.
В случае отзыва Клиентом Общества согласия на обработку ПД, Общество вправе продолжить обработку ПД без согласия Клиента при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ от 27.07.2006г. № 152-ФЗ «О персональных данных».
В соответствии с пунктами 2-11 части 1 статьи 6, а также пунктом 4 статьи 6 ФЗ от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее – ФЗ № 152-ФЗ) обработка ПД может осуществляться без согласия Клиента:

- заключение договора с Клиентом;

- взаимодействие с налоговыми органами;

- взаимодействие с органами предварительного следствия;

- взаимодействие с органами внутренних дел;

- взаимодействие с судебными органами;

- взаимодействие с Фондом социального страхования РФ;

- заполнение анкет и иных документов, необходимых для получения медицинской услуги.

Обработка ПД в Обществе осуществляется без использования средств автоматизации в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителя информации.
С целью уменьшения объема ПД, подлежащих защите в соответствии с требованиями ФЗ № 152-ФЗ, подзаконных актов и методических указаний, снижения нагрузки и обременений на Общество, приводящих к дополнительным затратам без повышения уровня защищенности ПД и прав работников и Клиентов Общества, а также передача ПД работника, Клиента сотрудникам Общества, находящихся вне местонахождения Общества в целях исполнения гражданско-правового договора, Трудового договора, может быть произведено обезличивание ПД Клиента Общества.
Обезличенные ПД должны представлять собой информацию на бумажном или магнитном носителе, принадлежность которой к конкретному физическому лицу невозможно определить без использования дополнительной информации в силу произведенных при обработке ПД действий.
В зависимости от передаваемой информации, обезличивание ПД может производиться следующими образом:

- скрытие ПД (удаление всей или части записи ПД);

- замена ПД (переставление полей одной записи ПД с теми же самыми полями другой аналогичной записи);

- использование специальных алгоритмов (маскирование ПД или подмена определенных символов другими);

- использование алгоритмов криптографического шифрования (хэширование или шифрование).
Лицо, ответственное за обработку ПД обладает правом самостоятельного выбора механизма обезличивания ПД.

При передаче ПД Общество должно соблюдать следующие требования:

- не сообщать ПД третьей стороне без письменного согласия работника, Клиента Общества, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, Клиенту Общества, а также в случаях, установленных законодательством РФ;

- не сообщать ПД в коммерческих целях без письменного согласия работника, Клиента Общества;

- предупредить лиц, получивших ПД, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.
Лица, получившие ПД, обязаны соблюдать режим секретности (конфиденциальности);

- осуществлять передачу ПД в соответствии с настоящей Политикой;

- разрешать доступ к ПД только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретной функции;

- не запрашивать информацию о состоянии здоровья работника Общества, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать ПД работника, Клиента Общества его законным, полномочным представителям в порядке, установленном законодательством РФ и ограничивать эту информацию только теми ПД, которые необходимы для выполнения указанными представителями их функции;
Передача ПД третьим лицам возможна только в случаях, прямо предусмотренных законодательными и нормативными актами, либо в случае согласия субъекта ПД.

Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого является субъект ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Право доступа к ПД имеют:

- руководитель Общества;

- заместитель директора по общим вопросам;
- работники бухгалтерии;

- администраторы-кассиры;

- старший администратор;

- средний медицинский персонал;

- врачи.
Субъект ПД имеет право:

- получать доступ к своим ПД и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его ПД;

- требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Общества ПД;

- работник Общества вправе получать от Общества сведения о лицах, которые имеют доступ к его ПД или которым может быть предоставлен такой доступ;
- перечень обрабатываемых ПД и источник их получения;
- сроки обработки ПД, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для него может повлечь за собой обработка его ПД;

- обжаловать в уполномоченный орган по защите прав субъектов ПД или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его ПД.
Сведения, указанные выше, предоставляются субъекту ПД при обращении либо при получении запроса субъекта ПД (уполномоченного представителя Клиента Общества). Запрос должен содержать номер и серию основного документы, удостоверяющего личность субъекта ПД (уполномоченного представителя Клиента Общества), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Клиента Общества в отношениях с Обществом (номер договора, дата заключения договора и иные сведения), либо сведения иным образом, подтверждающие факт обработки ПД субъекта, подпись субъекта ПД (уполномоченного представителя Клиента Общества).
Общество не вправе заставлять Клиентов к предоставлению их ПД, однако вправе требовать этого, если подобные обязательства прямо вытекают из требований законодательства РФ.
Общество обязано сообщить в уполномоченный орган по защите прав субъектов ПД по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.

Сотрудники Общества, виновные в нарушении порядка обращения с ПД, несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность в соответствии с законодательством РФ.
За неисполнение или ненадлежащее исполнение уполномоченными сотрудниками Общества по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с ПД, Общество вправе применять, предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.
Сотрудники Общества, получающие доступ к обрабатываемым ПД, несут персональную ответственность за конфиденциальность полученной информации.

12.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

- размещение технических средств обработки персональных данных в пределах охраняемой территории;

- поддержание технических средств охраны, сигнализации в исправном состоянии, обеспечивающем надлежащую охрану территории, на которой производится обработка персональных данных.