Политика в отношении обработки персональных данных

1. Сокращения и аббревиатуры

Ниже приведен перечень используемых в настоящем документе сокращений и аббревиатур

ИСПДн - информационная система персональных данных

ПДн - персональные данные

ФЗ - Федеральный закон

2. Общие положения

Полное наименование: Общество с ограниченной ответственностью «Первая Медицинская компания».

Сокращенное наименование: ООО «ПМК».

Юридический адрес: 123112, г. Москва, Пресненская наб., д. 12, оф. 4402, помещ. 3.

ООО «ПМК» (далее – Оператор) в терминах Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее –ФЗ «О персональных данных») является оператором персональных данных – юридическим лицом, осуществляющим обработку персональных данных и определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.

Под персональными данными (далее – ПДн), в соответствии с ФЗ «О персональных данных», понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Обработка ПДн осуществляется Оператором в соответствии с требованиями ФЗ «О персональных данных» и принятых в соответствии с ним иных нормативных правовых актов, регулирующих вопросы обработки и защиты ПДн. При обработке ПДн Оператор придерживается принципов, установленных законодательством Российской Федерации в области ПДн.

Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения определены в Перечне целей и сроков обработки персональных данных, являющемся неотъемлемой частью настоящей Политики (Приложение № 1).

В целях предотвращения нарушений законодательства Российской Федерации в сфере ПДн Оператором обеспечивается надлежащее документальное сопровождение процессов обработки ПДн:

  • анализ правовых оснований обработки ПДн;
  • документальное закрепление целей обработки;
  • установление сроков обработки ПДн;
  • регламентация процессов обработки ПДн (в том числе процесса допуска к ПДн, процесса прекращения обработки ПДн);
  • определение круга лиц, осуществляющих обработку ПДн и (или) имеющих доступ к ПДн;
  • распределение и закрепление обязанностей и ответственности работников Оператора в сфере обработки и обеспечения безопасности ПДн.

3. Права субъектов персональных данных и способ их реализации

В соответствии с частью 7 статьи 14 ФЗ «О персональных данных» субъект ПДн имеет следующие права в отношении своих ПДн:

  1. право на получение сведений, касающихся обработки ПДн Оператором:
    • подтверждение факта обработки ПДн Оператором;
    • правовые основания и цели обработки ПДн;
    • применяемые Оператором способы обработки ПДн;
    • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
    • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    • сроки обработки ПДн, в том числе сроки их хранения;
    • порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
    • информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
  2. право на ознакомление с ПДн, принадлежащими субъекту ПДн, обрабатываемыми Оператором;
  3. право требования от Оператора уточнения его ПДн, их блокирования или уничтожения, в случае, если ПДн являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  4. право на отзыв согласия на обработку ПДн (если такое согласие было дано Оператору);
  5. право требования от Оператора прекращения обработки ПДн;
  6. право требования от Оператора прекращения передачи (распространения, предоставления, доступа) ПДн, ранее разрешенных субъектом ПДн для распространения.

Субъект ПДн может реализовать свои права на получение сведений, касающихся обработки его ПДн Оператором, и на ознакомление с ПДн, принадлежащими субъекту, обрабатываемыми Оператором, путем обращения (лично или через представителя) либо путем направления письменного запроса по адресу: 123112, г. Москва, Пресненская наб., д. 12, оф. 4402, помещ. 3. Запрос также может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации, по адресу электронной почты: info@permedcom.ru.

В случае, если сведения, указанные в части 7 статьи 14 ФЗ «О персональных данных», а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

В соответствии с частью 3 статьи 14 ФЗ «О персональных данных» запрос субъекта ПДн (или его представителя) должен содержать:

  • номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;
  • подпись субъекта ПДн или его представителя.

Рекомендуемые формы запросов субъектов ПДн или их представителей приведены в приложении к данному документу.

4. Права и обязанности Оператора

Оператор имеет право:

  • требовать от субъекта ПДн достоверности предоставляемых персональных данных, их достаточности для целей обработки, а также в иных случаях, предусмотренных законодательством России;
  • ограничить доступ субъекта ПДн к его ПДн в установленных законодательством случаях;
  • поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное правовое основание обработки ПДн не предусмотрено ФЗ «О персональных данных»;
  • продолжить обработку ПДн субъекта ПДн в случае отзыва им согласия при наличии правового основания;
  • осуществлять иные права, предусмотренные законодательством России.

Обязанности Оператора:

  • принять правовые, организационные и технические меры для обеспечения безопасности ПДн в соответствии с требованиями действующего законодательства;
  • предоставить субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн;
  • уточнить, блокировать или уничтожить ПДн при наступлении оснований, предусмотренных законодательством;
  • разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн, если их предоставление является обязательным;
  • рассматривать обращения и жалобы со стороны субъектов ПДн и уполномоченных органов.

Оператор обязуется безвозмездно предоставить запрашиваемые сведения субъекту ПДн или его представителю в доступной форме в течение десяти рабочих дней с даты обращения или даты получения запроса субъекта ПДн или его представителя либо дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона (законов), являющиеся основанием для отказа в предоставлении информации.

В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Оператор обязуется внести в них необходимые изменения.

Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязуется с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

  • в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
  • в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки ПДн Оператор обязуется в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн).

В случае обращения субъекта ПДн с требованием прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для распространения, к любому лицу, обрабатывающему его ПДн, данное лицо обязано прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн.

5. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований

Под уничтожением обработанных ПДн понимаются действия, в результате которых невозможно восстановить содержание ПДн в информационной системе, и (или) в результате которых уничтожаются материальные носители ПДн.

Обрабатываемые ПДн подлежат уничтожению в случаях:

  • представления субъектом ПДн или его законными представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (в срок, не превышающий семи рабочих дней со дня представления указанных сведений);
  • выявления неправомерной обработки ПДн при невозможности обеспечить правомерность (в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн);
  • достижения целей обработки ПДн или утраты необходимости в достижении этих целей (в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, федеральными законами);
  • отзыва субъектом ПДн согласия на обработку его ПДн (в срок, не превышающий тридцати дней с даты поступления отзыва и в случае, если сохранение ПДн более не требуется для целей обработки ПДн);
  • достижения окончания сроков хранения ПДн.

Сроки обработки и хранения ПДн определяются в соответствии с целями их обработки, положениями законодательства Российской Федерации или договора (контракта), стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, либо согласием субъекта. По истечении установленных сроков ПДн подлежат уничтожению.

В случае невозможности уничтожения ПДн в течение указанных выше сроков, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование и уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Ответственным за организацию уничтожения информации, содержащей ПДн, назначается генеральный директор.

Уничтожение отобранных записей осуществляется путем удаления их из базы данных с помощью штатных средств информационной и операционной систем, а также средств администрирования систем управления базами данных или аналогичным по функционалу программным обеспечением.

Уничтожение записей ПДн может осуществляться:

  • в отношении единичных записей (например, в случае отзыва согласия субъекта на обработку его ПДн, увольнения работника);
  • в отношении массива (группы) записей.

Уничтожение единичных записей осуществляется личным помощником генерального директора.

Уничтожение группы записей осуществляется комиссией по уничтожению ПДн. Такие действия также должны фиксироваться актом об уничтожении персональных данных и выгрузкой из журнала.

Выводу носителя ПДн из эксплуатации в составе ИСПДн должно предшествовать удаление ПДн с носителя, исключающее возможность восстановления данных.

Удаление ПДн в таких случаях возможно следующими способами:

  • посредством записи в области хранения ПДн на носителе псевдослучайной последовательности с последующим форматированием носителя ПДн;
  • физического разрушения носителя в случае, если удаление ПДн посредством перезаписи и форматирования невозможно (например, для поврежденных накопителей или твердотельных накопителей в режиме работы «только чтение»).

Уничтожение материальных носителей информации, содержащих ПДн, осуществляется:

  • для бумажных носителей – путем сжигания или шредирования;
  • для машинных носителей – путем их физического разрушения (просверливание жесткого диска насквозь в нескольких местах, деформирование жесткого диска прессом, измельчение (резка, раздавливание) оптических носителей, флеш-накопителей, твердотельных накопителей).

Факт вывода носителя из эксплуатации или физического разрушения носителя персональных данных фиксируется соответствующим актом.

В случае, если обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.

В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, содержащимся в пунктах 3 и 4 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179, и выгрузка из журнала.

В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, установленным пунктами 3 и 4 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179, и выгрузка из журнала, соответствующая требованиям, установленным пунктом 5 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179.

Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

6. Сведения по обеспечению безопасности персональных данных и процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, а также устранение последствий таких нарушений

Оператором обеспечивается безопасность обрабатываемых ПДн, которая достигается применением различных по своему характеру мер как организационного, так и технического характера.

При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператором обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

При обработке персональных данных в информационных системах персональных данных Оператора обеспечена безопасность помещений, в которых размещены информационные системы; обеспечена сохранность носителей персональных данных; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей; используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.