Политика обработки персональных данных
1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) в ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ НЕСТЕРОВ АНДРЕЙ ВИКТОРОВИЧ (394005, РОССИЯ, ВОРОНЕЖСКАЯ ОБЛ, Г ВОРОНЕЖ, УЛ ШУКШИНА, Д 27, КВ 112, далее– Оператор) разработана в целях реализации Оператором положений законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.2. Политика является основой для организации обработки и защиты персональных данных Оператором, и определяет:
— принципы обработки персональных данных;
— правовые основания обработки персональных данных;
— цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
— порядок и условия обработки персональных данных;
— меры обеспечения конфиденциальности и безопасности персональных данных;
— порядок рассмотрения обращений субъектов персональных данных по вопросам обработки персональных данных;
— порядок уведомления и рассмотрения запросов уполномоченного органа по защите прав субъектов персональных данных.
права и обязанности Оператора и субъектов персональных данных.
1.3. Политика подлежит размещению в информационно-телекоммуникационной сети «Интернет» на сайте Оператора по веб-адресу: https://rehabilitationinrussia.ru/ (и/или его поддоменах, далее – сайт), а также на страницах информационных ресурсов Оператора, с использованием которых осуществляется сбор персональных данных.
1.4. Для страниц сайта, а также приложений для мобильных устройств, с которыми у сайта обеспечена интеграция (далее – приложения), посредством которых осуществляется сбор персональных данных, Оператор вправе разрабатывать дополнительные документы (частные политики) по вопросам обработки и защиты персональных данных. При этом частные политики не могут противоречить требованиям Законодательства РФ и положениям Политики.
1.5. Ознакомление работников Оператора с Политикой, в том числе с изменениями Политики, осуществляется под подпись. Требования Политики являются обязательными для исполнения всеми работниками Оператора, имеющими доступ к персональным данным.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В Политике используются термины и определения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных).
Дополнительно, в Политике можно встретить следующие термины:
— Иные персональные данные – персональные данные, не относящиеся к специальным категориям персональных данных и биометрическим персональным данным;
— Работник – лицо, состоящее с Оператором в трудовых отношениях на основании заключенного трудового договора.
3.ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных Оператором производится с учетом следующих принципов:
— обработки персональных данных на законной и справедливой основе;
— ограничения обработки персональных данных заранее определенными и законными целями;
— недопущения обработки персональных данных, несовместимой с целями их сбора (получения);
— обработки исключительно тех персональных данных, которые отвечают целям обработки;
— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обеспечения соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки, в том числе недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
— обеспечения точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям их обработки;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— уничтожения персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством РФ.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор осуществляет обработку персональных данных, руководствуясь:
— Трудовым кодексом Российской Федерации;
— Налоговым кодексом Российской Федерации;
— Гражданским кодексом Российской Федерации;
— Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
— Федеральным законом от 31.07.2020 № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации»;
— Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
— Законом Российской Федерации от 27.11.1992 № 4015-1 «Об организации страхового дела в Российской Федерации»;
— Федеральным законом от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
— Законом Российской Федерации от 07.02.1992 №2300-1 «О защите прав потребителей»;
— Федеральным законом от 06.04.2011 «Об электронной подписи»;
— Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе»;
— Законом Российской Федерации от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации»;
— Федеральным законом от 24.07.1998 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
— Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете с системе обязательного пенсионного страхования»;
— Федеральным законом от 15.12.2001 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
— Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
— Федеральным законом от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
— Федеральным законом от 07.07.2003 № 126-ФЗ «О связи»;
— Федеральным законом от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
— Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
другими применимыми федеральными законами Российской Федерации и принятыми нормативными правовыми актами Российской Федерации;
— Уставом Оператора;
— Согласием субъектов персональных данных;
— Договорами, стороной которых либо выгодоприобретателем или поручителем по которым являются субъекты персональных данных.
5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных Оператором осуществляется в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение следующих действий (операций) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Для каждой цели обработки Оператором определены:
— соответствующие категории и перечень обрабатываемых персональных данных;
— категории субъектов, персональные данные которых обрабатываются Оператором;
— способы и сроки обработки и хранения персональных данных;
— порядок уничтожения персональных данных при достижении целей обработки или наступлении иных законных оснований.
Цели обработки, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются Оператором, приведены в приложении № 1 к настоящей Политике, являющемся ее неотъемлемой частью.
Для каждой указанной в Политике цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных и неавтоматизированная обработка персональных данных, как с фиксацией персональных данных на материальных носителях, так и без такой фиксации.
Сроки обработки и хранения персональных данных для каждой указанной в Политике цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, и/или согласия субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством РФ.
Прекращение обработки (уничтожение) персональных данных Оператором, если иное не предусмотрено законодательством РФ, производится в случаях:
— ликвидации (прекращения деятельности) Оператора;
— достижения (утраты необходимости в достижении) цели (целей) обработки персональных данных;
— получения от субъекта персональных данных требования о прекращении обработки персональных данных;
— истечения установленных законодательством РФ сроков хранения документов.
6.ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.1. Сбор персональных данных осуществляется непосредственно у самого субъекта персональных данных (его представителя) и (или) других лиц, привлекаемых для сбора персональных данных, с последующей их передачей Оператору.
6.1.2. При сборе персональных данных посетителей сайта Оператор предоставляет возможность ознакомления с Политикой и дать согласие на обработку персональных данных свободно, своей волей и в своем интересе.
6.1.3. Сбор и обработка персональных данных субъекта персональных данных в целях продвижения товаров, работ, услуг Оператора и иных третьих лиц с путем осуществления прямых контактов с субъектом персональных данных осуществляется только при условии получения на это предварительного согласия.
6.1.4. Если в соответствии с законодательством РФ предоставление персональных данных и/или получение Оператором согласия на обработку персональных данных является обязательным, Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и/или дать согласие на их обработку.
6.1.5. Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:
— наименование и адрес Оператора;
— цель обработки персональных данных и ее правовое основание;
— перечень персональных данных;
— предполагаемые пользователи персональных данных;
— права субъекта персональных данных;
— источник получения персональных данных.
6.1.6. Оператор освобождается от обязанности предоставлять субъекту перечисленные в п. 6.1.5. Политики сведения, в случаях:
если субъект уведомлен об осуществлении обработки его персональных данных;
— если персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной либо выгодоприобретателем или поручителем которого является субъект персональных данных;
— обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ФЗ «О персональных данных»;
— Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
— предоставление субъекту персональных данных сведений, перечисленных в п. 6.1.5. Политики нарушает права и законные интерес третьих лиц.
6.2. ПЕРЕДАЧА (ПРЕДОСТАВЛЕНИЕ, ДОСТУП) ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
6.2.1. Передача (предоставление, доступ) персональных данных органам государственной власти, дознания и следствия, местного самоуправления, иным уполномоченным органам, а также получение Оператором персональных данных от таких органов допускается в случаях и на основаниях, предусмотренных законодательством РФ.
6.2.2. Предоставление персональных данных субъекта персональных данных его представителю осуществляется при наличии сведений, подтверждающих полномочия представителя.
6.2.3. Передача (предоставление, доступ) персональных данных третьему, а также поручение обработки персональных данных такому лицу осуществляется только при наличии согласия субъекта персональных данных. В согласии субъекта персональных данных указываются сведения о третьем лице (третьих лицах), а также цель передачи. Третьи лица получают доступ к персональным при наличии договоров и соглашений, обеспечивающих соблюдение ими требований конфиденциальности и безопасности персональных данных.
6.2.4. При передаче персональных данных третьим лицам, которые на основании договоров получают доступ или осуществляют обработку персональных данных, Оператор ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
6.2.5. Поручение обработки персональных данных третьим лицам осуществляется на основании заключаемого с этим лицом договора (поручения), существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности персональных данных.
6.2.6. Передача (предоставление, доступ) персональных данных между подразделениями Оператора осуществляется только между работниками, имеющими доступ к персональным данным субъектов. Доступ к обрабатываемым персональным данным предоставляются только тем работникам, которым он необходим для выполнения им конкретных функций в рамках выполнения должностных обязанностей.
6.2.7. Трансграничная передача персональных данных Оператором не осуществляется.
6.3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ
6.3.1. Обработка персональных данных, разрешенных для распространения, осуществляется на основании согласия субъекта персональных данных, оформленного отдельно от иных согласий, если иное не предусмотрено законодательством РФ.
6.3.2. Согласие на обработку персональных данных, разрешенных для распространения (далее – согласие на распространение персональных данных), может быть предоставлено Оператору непосредственно субъектом персональных данных либо с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
6.3.3. Молчание или бездействие субъекта персональных данных не может считаться согласием на распространение персональных данных.
6.3.4. Оператор предоставляет право субъекту персональных данных в согласии на распространение персональных данных, установить запреты на передачу, обработку и условия обработки (кроме предоставления доступа) персональных данных неограниченному кругу лиц.
6.3.5. Персональные данные, разрешенные для распространения, обрабатываются Оператором без права распространения, если:
— из согласия на распространение персональных данных, не следует, что субъект персональных данных установил запреты и условия на обработку таких персональных данных;
— в согласии на распространение персональных данных не указаны категории и перечень персональных данных, для обработки которых субъект устанавливает запреты и условия;
— из согласия на распространение не следует, что субъект согласился на распространение его персональных данных.
6.3.6. Действие согласия на обработку персональных данных, разрешенных для распространения, прекращается с момента поступления Оператору требования субъекта персональных данных о прекращении такой обработки.
6.4. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.4.1.Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели обработки, если срок хранения персональных данных не установлен законодательством РФ либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.4.2. Хранение персональных данных Оператором осуществляется в информационных системах Оператора и на бумажных (материальных) носителях.
6.4.3. Документы на бумажных носителях, резервные копии баз данных информационных систем хранятся в специально выделенных помещениях Оператора (провайдера сервисов хранения данных, с которым Оператором заключен договор на оказание услуг), доступ к которым предоставляется работникам Оператора (провайдера сервисов хранения данных) в соответствии с их должностными обязанностями.
6.5. УТОЧНЕНИЕ (ОБНОВЛЕНИЕ, ИЗМЕНЕНИЕ) ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.5.1. При обработке персональных данных Оператором обеспечивается их своевременное уточнение (обновление, изменение), которое осуществляется, в частности, в случае подтверждения факта неточности персональных данных, на основании:
— обращения субъекта персональных данных или его представителя, обладающего соответствующими полномочиями, предоставленных сведений уполномоченного органа по защите прав субъектов персональных данных, подтверждающих факт неточности персональных данных;
— установления Оператором расхождения между ранее полученными персональными данными и предоставляемыми субъектом персональных данных или его представителем, обладающим соответствующими полномочиями, уполномоченным органом по защите прав субъектов персональных данных наряду с подтверждающими документами.
6.5.2. В случае выявления неточности персональных данных Оператор уточняет (обновляет, изменяет) их в течение семи рабочих дней со дня получения сведений, подтверждающих факт неточности персональных данных.
6.6. ПРЕКРАЩЕНИЕ ОБРАБОТКИ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.6.1. В случае обращения субъекта персональных данных с требованием прекратить обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных Оператор незамедлительно прекращает такую обработку.
6.6.2. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо запроса уполномоченного органа по защите прав субъектов персональных данных, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных и в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
6.6.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает такую обработку и в случае, если сохранение персональных данных более не требуется для целей обработки, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, а также договором стороной, выгодоприобретателем или поручителем которого является субъект персональных данных либо иным соглашением между Оператором и субъектом персональных данных.
6.6.4. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления Оператором субъекту персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.6.5. В случае утраты необходимости в достижении целей Оператор уничтожает обрабатываемые персональные данные в срок, не превышающий тридцати дней, если иное не предусмотрено законодательством РФ.
6.6.6. В случае достижения целей обработки персональных данных, а также по истечении установленных сроков хранения персональных данных Оператор уничтожает обрабатываемые персональные данные в срок, не превышающий тридцати дней с даты достижения целей обработки персональных данных, если иное не предусмотрено договором стороной, выгодоприобретателем или поручителем которого является субъект персональных данных либо иным соглашением между Оператором и субъектом персональных данных или законодательством РФ.
6.6.7. Уничтожение персональных данных Оператором производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных (далее – ИСПДн) и/или в результате которых уничтожаются материальные (бумажные) носители персональных данных. По результатам уничтожения формируются документы, предусмотренные требованиями Приказа Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
7. МЕРЫ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ И БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для обеспечения конфиденциальности и безопасности персональных данных, их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных в соответствии с ФЗ «О персональных данных» Оператором принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие (если обработка персональных данных осуществляется лицом, действующим по поручению Оператора). В частности, принимаются следующие меры:
- назначен ответственный за организацию обработки персональных данных;
- разработаны и утверждены организационно-распорядительные документы, определяющие политику оператора в отношении обработки и обеспечения безопасности персональных данных;
- работники оператора, допущенные к обработке персональных данных;, ознакомлены с положениями законодательства РФ и локальных нормативных актов в отношении обработки и обеспечения безопасности персональных данных;
- проводится внутренний контроль соответствия обработки персональных данных требованиям действующего законодательства и локальным актам оператора;
- проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
- обеспечен неограниченный доступ к Политике оператора в отношении обработки персональных данных;
- определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применяются организационные и технические меры по обеспечению безопасности персональных данных, в том числе средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- ведется учет машинных носителей персональных данных;
- установлен порядок доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
- обеспечивается регистрация и учет действий, совершаемых с персональными данными в информационных системах персональных данных;
- осуществляется контроль и оценка эффективности применяемых мер обеспечения безопасности персональных данных, обнаружение фактов несанкционированного доступа к персональным данным, а также восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа.
- организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих прав доступа в эти помещения;
- обеспечивается сохранность носителей персональных данных;
- утвержден (при необходимости актуализируется) перечень лиц, доступ которых к персональным данным, обрабатываемых в информационной системе, необходим для выполнения ими трудовых обязанностей;
- назначено лицо (работник Оператора), ответственное за обеспечение безопасности персональных данных, обрабатываемых в ИСПДн;
- утвержден (при необходимости актуализируется) перечень лиц, допущенных к содержанию электронного журнала сообщений, который регистрирует и учитывает действия, совершаемые с персональными данными в ИСПДн, в связи с необходимостью выполнения служебных (трудовых) обязанностей.;
- реализуются меры по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
- осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;
- осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления.
При обработке персональных данных автоматизированном способом Оператор принимает необходимые меры по обеспечению безопасности персональных данных с учетом требований Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Обработка персональных данных неавтоматизированном способом осуществляется в порядке, предусмотренном Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
8. ПОРЯДОК РАССМОТРЕНИЯ И РАССМОТРЕНИЯ ОБРАЩЕНИЙ И/ИЛИ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных вправе обратиться и/или направить запрос по вопросам обработки его персональных данных Оператору через электронную почту rehabilitationinrussia@gmail.com, специалиста поддержки на сайте, чат поддержки пользователей в приложении, а также путем направления почтовой корреспонденции по адресу: 394005, РОССИЯ, ВОРОНЕЖСКАЯ ОБЛ, Г ВОРОНЕЖ, УЛ ШУКШИНА, Д 27, КВ 112
8.2. Обращение и/или запрос субъекта персональных данных в адрес Оператора должны содержать сведения, достаточные для подтверждения достоверности факта обращения непосредственно субъекта персональных данных либо его представителя.
8.3. Субъект персональных данных вправе отозвать согласие на обработку персональных данных путем направления подписанной формы отзыва согласия на обработку персональных данных (Приложение № 2 к настоящей Политике) способом, указанным в п. 8.1. Политики.
8.4. Оператор, получив обращение и/или запрос субъекта персональных данных и убедившись в его законности, предоставляет субъекту персональных данных (представителю), сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Оператором сведения не могут содержать персональные данные, принадлежащие другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
8.5. Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от субъектов персональных данных производится Оператором в объеме и сроки, предусмотренные законодательством РФ. Установленный законодательством РФ срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен на основании установленных ФЗ «О персональных данных» ограничений с направлением в адрес субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.
8.6. Оператор вправе отказать субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путем направления субъекту персональных данных или его представителю мотивированного отказа, если у Оператора в соответствии с законодательством РФ имеются такие основания.
9. ПОРЯДОК УВЕДОМЛЕНИЯ И РАССМОТРЕНИЯ ЗАПРОСОВ УПОЛНОМОЧЕННОГО ОРГАНА ПО ЗАЩИТЕ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Оператор рассматривает запросы уполномоченного органа по защите прав субъектов персональных данных, поступившие на адрес электронной почты rehabilitationinrussia@gmail.com, почтовый адрес: 394005, РОССИЯ, ВОРОНЕЖСКАЯ ОБЛ, Г ВОРОНЕЖ, УЛ ШУКШИНА, Д 27, КВ 112
, а также через иные каналы связи, использование которых предусмотрено законодательством РФ для направления таких запросов.
9.2. Оператор сообщает по запросу уполномоченного органа по защите прав субъектов персональных данных необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.3. В случаях, установленных ФЗ «О персональных данных», Оператор направляет в уполномоченный орган по защите прав субъектов персональных данных соответствующие уведомления.
9.4. В случае изменений сведений об обработке персональных данных и до начала трансграничной передачи персональных данных Оператор уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в порядке и сроки, предусмотренные ФЗ «О персональных данных».
9.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор с момента выявления такого инцидента, уведомляет уполномоченный орган по защите прав субъектов персональных данных:
— в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
— в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
10. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА, ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Оператор обязан:
— предоставить лицу, ответственному за организации обработки персональных данных, сведения в соответствии с ФЗ «О персональных данных»;
— при обработке персональных данных соблюдать требования законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;
— при обработке персональных данных работников Оператора соблюдать требования к обработке и защите таких персональных данных, предусмотренных трудовым законодательством РФ;
— опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
— при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ;
— при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
— в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями законодательства РФ и субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
— в случае принятия Оператором решения на основании исключительно автоматизированной обработки персональных данных субъекта персональных данных разъяснить ему порядок принятия решения и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения;
— в случае получения персональных данных не от субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную ФЗ «О персональных данных», с учетом установленных исключений;
— выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов субъекта персональных данных), и/или от Надзорного органа;
— принимать меры, направленные на обеспечение выполнения требований ФЗ «О персональных данных»;
— принимать меры по обеспечению безопасности персональных данных при их обработке;
— выполнять обязанности по устранению нарушений Законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Законодательством РФ;
— выполнять обязанности, установленные ФЗ «О персональных данных» для Операторов персональных данных, в случае получения от субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
— взаимодействовать с Надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных ФЗ «О персональных данных»;
— выполнять иные обязанности, предусмотренные законодательством РФ.
10.2. Оператор имеет право:
— обрабатывать персональные данные субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных ФЗ «О персональных данных»;
— осуществлять передачу персональных данных субъектов персональных данных третьим лицам/партнерам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных третьим лицам/партнерам, иным лицам при наличии соответствующих правовых оснований и соблюдении требований ФЗ «О персональных данных»;
— отказать субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных ФЗ «О персональных данных»;
— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ;
— самостоятельно, с учетом требований ФЗ «О персональных данных», определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
— реализовывать иные права, предусмотренные законодательством РФ.
10.3. Субъект персональных данных имеет право:
— свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований ФЗ «О персональных данных» к форме и содержанию согласий на обработку персональных данных;
— направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные законодательством РФ;
— требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав с учетом исключений, установленных ФЗ «О персональных данных»;
— обратиться с требованием к Оператору прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
— возражать против принятия Оператором решения, основанного на исключительно автоматизированной обработке его персональных данных;
— обжаловать действия или бездействия Оператора в уполномоченный орган по правам субъектов персональных данных или в судебном порядке;
— осуществлять иные права, предусмотренные Законодательством РФ.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Политика вводится в действие и становится обязательной для исполнения всеми работниками Оператора с момента ее утверждения.
11.2. Политика может быть изменена в любой момент времени по усмотрению Оператора.
11.3. В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.
11.4. Работники Оператора несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, в порядке и при наступлении условий, предусмотренных Трудовым кодексом Российской Федерации, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.
11.5. В случае возникновения любых вопросов касательно обработки персональных данных Оператором субъект персональных данных может обратиться по адресу электронной почты rehabilitationinrussia@gmail.com, через специалиста поддержки на сайте, а также путем направления почтовой корреспонденции по адресу: 394005, РОССИЯ, ВОРОНЕЖСКАЯ ОБЛ, Г ВОРОНЕЖ, УЛ ШУКШИНА, Д 27, КВ 112
Приложение № 1 к Политике в отношении обработки персональных данных
Цели обработки персональных данных Оператором
|
№ |
Наименование цели |
Наименование категории персональных данных |
Перечень персональных данных |
Категории субъектов персональных данных |
|
1 |
Ведение кадрового и бухгалтерского учета |
Иные персональные данные |
фамилия, имя, отчество, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, профессия, должность, отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, табельный номер, вид работы (основная, по совместительству), сведения о стаже работы, состояние в браке, состав семьи, сведения о приеме на работу и переводе на другую работу, структурное подразделение, специальность, аттестация, тарифная ставка (оклад), надбавки, сведения о доходах, реквизиты банковской карты, повышение квалификации, профессиональная переподготовка (дата начала переподготовки, дата окончания переподготовки, специальность, данные документа (наименование, номер, дата), награды и поощрения, почетные звания наименование, данные документа (наименование, серия, номер, дата), отпуск (вид отпуска, период работы, количество календарных дней отпуска, дата начала и окончания), социальные льготы (наименование льготы, номер и дата выдачи документа), основание прекращения трудового договора (увольнения), дата увольнения, номер и дата трудового договора, сведения о командировках (дата, место назначения, срок, цель, источник финансирования, задание), сведения о рабочем времени (явках и неявках на работу), вид и реквизиты (серия, номер, дата выдачи, срок действия) документа, удостоверяющего личность иностранного гражданина, вид и реквизиты документа, подтверждающего право на пребывание (проживание) в Российской Федерации, цель въезда, серия и номер миграционной карты, данные страхового полиса |
работники, уволенные работники, контрагенты, представители контрагентов. |
|
специальные категории персональных данных |
результаты медицинского осмотра |
работники |
||
|
2 |
Продвижение товаров, работ, услуг на рынке |
Иные персональные данные |
фамилия, имя,отчество, данные из файлов куки, номер телефона, адрес электронной почты, место работы, должность, канал привлечения, возраст, признак наличия детей,сведения о купленных продуктах |
клиенты, работники контрагентов, контрагенты, посетители сайта, участники проводимых мероприятий. |
|
3 |
Обеспечение пропускного режима на территорию оператора |
Иные персональные данные |
фамилия, имя, отчество, должность, место работы |
работники, работники контрагентов, представители контрагентов, соискатели на вакантную должность. |
|
4 |
Подбор персонала (соискателей) на вакантные должности |
Иные персональные данные |
фамилия, имя, отчество, сведения о смене фамилии, имени, отчества (при наличии), фотография, пол, дата рождения, место рождения, адрес регистрации, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты документа, удостоверяющего личность за пределами РФ, ИНН, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой деятельности на текущее время с указанием наименования организации), опыт работы (месяц, год начала/окончания, наименование работодателя, место расположения (город), наименование должности, причина увольнения), данные водительского удостоверения, сведения об образовании (наименование образовательного учреждения и его местонахождение, год поступления/окончания образовательного учреждения, форма обучения, специальность по документу об образовании, номер и серия диплома), сведения об ученой степени (ученая степень, звание, когда присвоены, номера дипломов, аттестатов), сведения о профессиональной переподготовке и (или) повышении квалификации, сведения о владении иностранными языками, включая уровень владения, гражданство, сведения о смене гражданства (при наличии), отношение к воинской обязанности, сведения о воинском учете, основания освобождения от призыва на военную службу или от исполнения воинской обязанности в случае непрохождения военной службы, сведения о финансовых обязательствах по кредитам, ссудам, алиментам, другим задолженностям либо о наличии статуса должника/взыскателя по исполнительному производству (наименование кредитора или получателя, сумма задолженности, ежемесячный платеж, срок погашения) (при наличии), сведения о выступлении в качестве истца/ответчика в судебном разбирательстве (при наличии),сведения о привлечении к административной ответственности (каким судом или уполномоченным органом привлечен, за какие действия, мера наказания, основания прекращения дела об административном правонарушении) (при наличии), сведения о выступлении в качестве подозреваемого, обвиняемого, потерпевшего или свидетеля в уголовном судопроизводстве (при наличии), семейное положение, сведения о государственной и/или муниципальной службе за последние 2 года (период, должность, организация) (при наличии), сведения о состоянии в общественных организациях и/или учредителем, акционером, участником, юридических лиц (при наличии), номер телефона, адрес электронной почты, контакты данные в социальных сетях и мессенджерах, профессия, должность, результаты оценочных мероприятий, сведения о желаемой заработной плате, сведения о профессиональных, деловых и личных качествах, степень родства, место работы |
соискатели на вакантную должность, родственники соискателей на вакантную должность, рекомендатели соискателя на вакантную должность. |
|
специальные категории персональных данных |
результаты медицинского осмотра |
соискатели на вакантную должность оператора |
||
|
5 |
Оказание услуг |
Иные персональные данные |
фамилия, имя, отчество, дата рождения, возраст, номер телефона, пол, часовой пояс, СНИЛС, сведения о ДМС – страховая компания, номер полиса, адрес электронной почты, сведения о заказанных/купленных продуктах и услугах, дата и время покупки, их стоимость, идентификатор пользователя, статистика использования Сайта, сведения о заключенных с партнерами и провайдерами договорах, идентификатор заказа, идентификатор устройства (GAID), фотография, город проживания, место работы, должность, специальность, специализация, сведения о стаже и опыте работы, график работы, сведения об образовании, сведения о дополнительном образовании, сертификатах, повышении квалификации, врачебная категория, сведения о квалификационной категории, вид приема, год начала врачебной практики, ученая степень, награды, достижения, сведения о научной деятельности, сведения об участии в профессиональных организациях, результаты немедицинских консультаций, результаты оказываемых услуг, антропометрические данные, количество отзывов, рейтинг |
клиенты, работники, работники контрагентов, представители, контрагентов |
|
Специальные категории персональных данных |
сведения о состоянии здоровья.сведения о состоянии здоровья, как добавленные клиентом в сервис, так и полученные в ходе консультаций или полученные от других организаций, в том числе, но не ограничительно, сведения о заявках и фактах обращения за медицинской помощью, история обращений к врачу, заключения по результатам проведенных консультаций, результаты медицинских исследований, результаты медицинских анализов, жалобы на состояние здоровья, анамнез, диагнозы, сведения о применяемом лечении, включая препараты, сведения о ранее проведенном лечении, включая сведения и документы, загруженные клиентом в сервис Оператора |
клиенты |
||
|
6 |
Осуществление рабочих процессов Оператора |
Иные персональные данные |
фамилия, имя, отчество, дата рождения, фотография, адрес электронной почты, адрес регистрации, почтовый адрес, номер телефона, данные документа, удостоверяющего личность, сведения об образовании, место работы, структурное подразделение, должность, интересы, сведения о деловых поездках |
работники, контрагенты, клиенты, работники контрагентов, представители контрагентов |
|
7 |
Предоставление льгот работникам Оператора |
Иные персональные данные |
фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, место работы, сведения о посещаемости и успеваемости на занятиях |
работники |
Приложение № 2
к Политике в отношении
обработки персональных данных
Директору ООО «Инновационная медицина»
от _____________________________________
(фамилия, имя, отчество)
зарегистрированного по адресу: ___________
_______________________________________
(место регистрации)
паспорт серии _______ № _________________
выдан __________________________________
________________________________________
_________________от ____________________
(дата выдачи)
Номер телефона _________________________
ОТЗЫВ СОГЛАСИЯ
на обработку персональных данных
Я, ______________________________________________________________,
(фамилия, имя, отчество)
отзываю у ИП Нестерова Андрея Викторовича согласие на обработку моих персональных данных.
Прошу прекратить обработку моих персональных данных в течение тридцати дней с момента поступления настоящего отзыва.
____________________ ____________________________________
(подпись) (фамилия, инициалы)
_________________________
(дата подписи)