Политика в отношении обработки персональных данных
Утверждена приказом ООО «Институт инновационных медико-эстетических технологий «Биарриц» от 21.11.2024 №29
Политика обработки персональных данных в ООО «Институт инновационных медико-эстетических технологий «Биарриц»
1. Общие положения
1.1.Основные понятия, используемые в данном документе
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя:
1) сбор;
2) запись;
3) систематизацию;
4) накопление;
5) хранение;
6) уточнение (обновление, изменение)
7) извлечение;
8) использование;
9) передачу (распространение, предоставление, доступ);
10)обезличивание;
11)блокирование;
12)удаление;
13)уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств автоматизации.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства местному органу власти, иностранному физическому или юридическому лицу.
1.2.Сведения об операторе
Полное наименование оператора: ООО «Институт инновационных медико-эстетических технологий «Биарриц» (далее – Оператор).
Юридический адрес Оператора: 680000, г. Хабаровск, пер. Арсеньева, д. 4.
1.3.Назначение и область действия политики персональных данных
Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и действует в отношении персональных данных (далее – ПДн), которые Оператор может получить от субъекта персональных данных и (или) от его законного представителя.
Настоящая Политика направлена на защиту прав и свобод субъектов ПДн, персональные данные которых обрабатываются в информационных системах персональных данных (далее – ИСПДн) ООО «Институт инновационных медико-эстетических технологий «Биарриц».
Настоящий документ определяет цели и общие принципы обработки ПДн, а также реализуемые меры защиты персональных данных, обрабатываемых в ИСПДн. Политика является общедоступным документом и предусматривает возможность ознакомления с ней любых лиц.
Политика распространяется на ПДн, полученные как до, так и после подписания настоящей Политики.
Политика действует бессрочно после утверждения и до ее замены новой редакцией.
1.4.Основные права и обязанности оператора
При сборе ПДн Оператор обязан предоставить субъекту ПДн и (или) его законному представителю по его просьбе следующую информацию:
1) подтверждение Оператором факта обработки ПДн;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Оператором способы обработки ПДн;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
9) иные сведения, предусмотренные федеральными законами.
Оператор освобождается от обязанности предоставить субъекту персональных данных вышеуказанные сведения, если:
1) субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
2) ПДн получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
3) субъектом ПДн сделаны общедоступными ПДн или получены из общедоступного источника;
4) Оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности,
если при этом не нарушаются права и законные интересы субъекта ПДн;
5) предоставление субъекту ПДн вышеуказанных сведений нарушает права и законные интересы третьих лиц.
1.5.Основные права и обязанности субъекта ПДн
Субъект ПДн имеет право на получение сведений, указанных в
ч. 7 ст. 14 Федерального закона №152-ФЗ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с
ч. 8 ст. 14 Федерального закона №152-ФЗ. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, должны быть предоставлены субъекту ПДн Оператором в доступной форме, при этом в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
Сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, предоставляются Оператором субъекту ПДн или его представителю при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата его заключения, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки Оператором ПДн, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
В случае если сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона №152-ФЗ, и ознакомления с такими ПДн не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона №152-ФЗ, а также в целях ознакомления с обрабатываемыми ПДн до истечения 30-дневного срока в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
2. Цели обработки персональных данных в ИСПДн
2.1. Цель обработки данных: Ведение кадрового и бухгалтерского учета.2.1.1.Категории субъектов, персональные данные которых обрабатываются:
Работники.
2.1.2.Категории персональных данных: иные и общедоступные категории ПДн до 100000 субъектов ПДн.
2.1.3.Перечень ПДн: фамилия, имя, отчество; место и дата рождения; домашний адрес (сведения о регистрации); адрес фактического проживания; семейное положение и состав семьи (муж/жена, дети); сведения об образовании, профессии, специальности; паспортные данные; гражданство; почтовые и электронные адреса; ИНН; СНИЛС; пол; сведения о стаже; номер телефона (домашний, сотовый); лицевой счет; номер и дата трудового договора; сведения об испытательном сроке; сведения о заработной плате; сведения о приеме на работу, перемещении по должности, увольнении; информация о трудовой деятельности до приема на работу; содержание трудового договора; сведения о периодах нетрудоспособности; информация о детях и иждивенцах (фамилия, имя, отчество, дата рождения, возраст, родство, категория, инвалидность, вычеты); вычеты НДФЛ (вид вычета, дата начала, дата окончания, сумма); должность; количество рабочих часов; размер оклада и аванса; размер компенсации; основание выплаты, период, расчетные данные; форма допуска; сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); данные об аттестации работников; данные о повышении квалификации; данные о наградах, медалях, поощрениях, почетных званиях; сведения о наличии/отсутствии судимости, данные свидетельства о заключении брака; данные свидетельства о рождении ребенка.
2.1.4.Правовое основание обработки ПДн: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
2.1.5.Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
2.1.6.Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
2.1.7.Хранение персональных данных:
2.1.7.1.осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
2.1.7.2.в электронном виде: в информационной инфраструктуре Оператора;
2.1.7.3.в бумажном виде хранятся в запирающихся шкафах (сейфах), доступ к которым имеют только лица, допущенные к обработке персональных данных.
2.1.8.Сроки обработки и хранения ПДн: обработка и хранение субъектов ПДн осуществляются не дольше, чем этого требуют цель обработки ПДн, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом ПДн не установлен соответствующий срок хранения.
2.1.9.Порядок и условия обработки ПДн: обрабатываемые ПДн подлежат уничтожению либо обезличиванию при наступлении следующих условий:
2.1.9.1.достижение целей обработки ПДн.
2.1.9.2.предоставление субъектом ПДн или его законным представителем подтверждения того, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
2.1.9.3.невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
2.1.9.4.истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн;
2.1.9.5.ликвидация Оператора.
2.1.10.Трансграничная передача ПДн: не осуществляется.
2.1.11.Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
2.1.11.1.разработаны и утверждены Политика об обработке персональных данных, положение о защите персональных данных; обязательство о неразглашении конфиденциальной информации, должностные инструкции, согласие на обработку ПДн;
2.1.11.2.назначены работники, ответственные за организацию обработки и обеспечение безопасности ПДн;
2.1.11.3.издание локальных актов по вопросам обработки ПДн, ознакомление с ними работников, обучение пользователей;
2.1.11.4.обеспечение физической безопасности помещений и средств обработки, пропускного режима, охраны помещений и видеонаблюдения;
2.1.11.5.ограничение и разграничение доступа работников и иных лиц к ПДн и средствам обработки, организация мониторинга действий с ПДн;
2.1.11.6.разработана модель угроз безопасности в информационной системе;
2.1.11.7.разработаны правила доступа к персональным данным, обрабатываемым в информационной системе, обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе;
2.1.11.8.применение средств обеспечения безопасности информации;
2.1.11.9.учет и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
2.1.11.10. резервное копирование информации для возможности ее восстановления;
2.1.11.11. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты;
2.1.11.12. проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона №152-ФЗ.
2.1.12.Средства обеспечения безопасности: Встроенные средства операционной системы, антивирусное программное обеспечение.
2.1.12.1.Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований прекращения обработки: носители, содержащие персональные данные субъектов ПДн, уничтожаются комиссией по уничтожению ПДн, утверждённой приказом руководителя (далее – Комиссия). комиссия производит отбор носителей Пдн, подлежащих уничтожению, с указанием основания для уничтожения. На все носители ПДн, подлежащие уничтожению, составляется акт об уничтожении персональных данных. Комиссия проверяет наличие всех носителей ПДн, включенных в акт. Уничтожение носителей ПДн производится при наличии кворума. Уничтожение ПДн, хранящихся на жестком диске компьютера, производится с использованием штатных средств операционной системы компьютера с последующим обязательным «очищением корзины». При достижении цели обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн.
2.2. Цель обработки данных: Оказание медицинских услуг пациентам.2.2.1.Категории субъектов, персональные данные которых обрабатываются:
Пациенты.
2.2.2.Категории персональных данных: иные и специальные категории ПДн до 100000 субъектов ПДн.
2.2.3.Перечень ПДн: фамилия, имя, отчество; пол; дата рождения; место рождения; гражданство; образование, специальность; место работы; состояние в браке; состав семьи; место регистрации; адрес места жительства и домашний телефон; сведения о факте, времени, частоте обращений в медицинскую организацию; страховой номер индивидуального лицевого счета (СНИЛС), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования; номер полиса обязательного медицинского страхования застрахованного лица; данные о страховой медицинской организации, выбранной застрахованным лицом; дата регистрации в качестве застрахованного лица; статус застрахованного лица (работающий, неработающий); медицинская организация, оказавшая соответствующие услуги; виды оказанной медицинской помощи; условия оказания медицинской помощи; сроки оказания медицинской помощи; объемы оказанной медицинской помощи; стоимость оказанной медицинской помощи; диагноз; профиль оказания медицинской помощи; медицинские услуги, оказанные пациенту, и примененные лекарственные препараты; примененные порядки и стандарты медицинской помощи; результат обращения за медицинской помощью; результаты проведенного контроля объемов, сроков, качества и условий предоставления медицинской помощи; данные документа, удостоверяющего личность.
2.2.4.Правовое основание обработки ПДн: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
2.2.5.Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; обезличивание; блокирование; удаление; уничтожение.
2.2.6.Способы обработки: смешанная; с передачей по внутренней сети юридического лица; без передачи по сети Интернет.
2.2.7.Хранение персональных данных:
2.2.7.1.осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
2.2.7.2.осуществляется в электронном виде в информационной инфраструктуре Оператора;
2.2.7.3.в бумажном виде хранятся в запирающихся шкафах (сейфах), доступ к которым имеют только лица, допущенные к обработке персональных данных.
2.2.8.Сроки обработки и хранения ПДн: обработка и хранение субъектов ПДн осуществляются не дольше, чем этого требуют цель обработки ПДн, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом ПДн не установлен соответствующий срок хранения.
2.2.9.Порядок и условия обработки ПДн: обрабатываемые ПДн подлежат уничтожению либо обезличиванию при наступлении следующих условий:
2.2.9.1.достижение целей обработки ПДн.
2.2.9.2.предоставление субъектом ПДн или его законным представителем подтверждения того, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
2.2.9.3.невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
2.2.9.4.истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн;
2.2.9.5.ликвидация Оператора.
2.2.10.Трансграничная передача ПДн: не осуществляется.
2.2.11.Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
2.2.11.1.разработаны и утверждены Политика об обработке персональных данных, положение о защите персональных данных; обязательство о неразглашении конфиденциальной информации, должностные инструкции, согласие на обработку ПДн;
2.2.11.2.назначены работники, ответственные за организацию обработки и обеспечение безопасности ПДн;
2.2.11.3.издание локальных актов по вопросам обработки ПДн, ознакомление с ними работников, обучение пользователей;
2.2.11.4.обеспечение физической безопасности помещений и средств обработки, пропускного режима, охраны помещений и видеонаблюдения;
2.2.11.5.ограничение и разграничение доступа работников и иных лиц к ПДн и средствам обработки, организация мониторинга действий с ПДн;
2.2.11.6.разработана модель угроз безопасности в информационной системе;
2.2.11.7.разработаны правила доступа к персональным данным, обрабатываемым в информационной системе, обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе;
2.2.11.8.применение средств обеспечения безопасности информации;
2.2.11.9.учет и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
2.2.11.10. резервное копирование информации для возможности ее восстановления;
2.2.11.11. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты;
2.2.11.12. проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона №152-ФЗ.
2.2.12.Средства обеспечения безопасности: Встроенные средства операционной системы, антивирусное программное обеспечение.
2.2.12.1.Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований прекращения обработки: носители, содержащие персональные данные субъектов ПДн, уничтожаются комиссией по уничтожению ПДн, утверждённой приказом руководителя (далее – Комиссия). комиссия производит отбор носителей Пдн, подлежащих уничтожению, с указанием основания для уничтожения. На все носители ПДн, подлежащие уничтожению, составляется акт об уничтожении персональных данных. Комиссия проверяет наличие всех носителей ПДн, включенных в акт. Уничтожение носителей ПДн производится при наличии кворума. Уничтожение ПДн, хранящихся на жестком диске компьютера, производится с использованием штатных средств операционной системы компьютера с последующим обязательным «очищением корзины». При достижении цели обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн.