Политика обработки персональных данных

 1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая   Политика  в отношении обработки персональ­ных данных Общества   с   ограниченной  ответственностью  «Лаванда-мед» (далее Оператор) разработана во исполнение требований Конституции РФ, Федерального зако­на от 27.07.2006 № 152-ФЗ «О персональных данных», других законодательных актов Российской Федерации.

1.2. Политика определяет общий порядок, принципы и условия обработки Оператором персональных данных и защиты прав субъектов персональных данных при обработке их персональных данных.

1.3. Политика  действует  в  отношении  всех  персональных  данных, которые  обрабатывает Оператор.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публи­куется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора по адресу: https://lavanda-med.ru.

1.5. Использование сайта субъектом персональных данных (посетителем сайта) означает согласие с настоящей Политикой, условиями обработки  Оператором персональных данных и автоматически подтверждает его согласие на обработку своих персональных данных.

1.6. В случае несогласия с условиями настоящей Политики пользователь должен прекратить использование сайта. 

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

2.1 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2 Персональные данные, разрешенные субъектом персональных данных для распростране­ния – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2.3 Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляю­щие обработку персональных данных.

2.4 Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются.

2.5 Обработка персональных данных – любое действие (операция) или совокупность действий (опера­ций) с персональными данными, совершаемых с использованием средств автоматизации или без их исполь­зования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу (предоставление, доступ,  распространение), обезличивание, блокирование, удаление, уничтожение.

2.6 Автоматизированная обработка персональных данных – обработка персональных данных с помо­щью средств вычислительной техники.

2.7 Предоставление персональных данных – действия, направленные на раскрытие персональных дан­ных определенному лицу или определенному кругу лиц.

2.8 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.9 Блокирование персональных данных – временное прекращение обработки персональных данных.

2.10 Уничтожение персональных данных – действия, в результате которых становится невозможным восста­новить содержание персональных данных в информационной системе персональных данных и (или) в ре­зультате которых уничтожаются материальные носители персональных данных.

2.11 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретно­му субъекту персональных данных.

2.12 Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

2.13 Материальный носитель персональных данных – материальный носитель (дела, журналы учета, договоры, машинные носители информации) с зафиксированной на нём в любой форме информацией, содержащей персональные данные субъектов персональных данных.

2.14 Конфиденциальность персональных данных – обязательное для Оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные.

3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Оператор имеет право: 

3.1.1. Получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные.

3.1.2. В случае отзыва субъектом персональных данных согласия на обработку персональных

данных Оператор вправе продолжить обработку персональных данных при наличии оснований, указанных в Законе о персональных данных.

3.1.3. Самостоятельно определять состав и перечень мер, необходимых и достаточных для

обеспечения выполнения обязанностей, предусмотренных законодательными актами РФ о персональных данных.

      3.2 Оператор обязан: 

3.2.1. Организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ.

3.2.2. Обеспечить хранение и другие действия с персональными данными на серверах, расположенных в пределах Российской Федерации.

3.2.3. Принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.2.4. Сообщать субъектам о факте обработки их персональных данных, целях и методах совершаемых операций.

3.2.5. Получать добровольное согласие субъектов на использование и обработку их персональных данных.

3.2.6. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.

3.2.7. Сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию.

3.2.8. Опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите персональных данных.

3.2.9. Определять потенциальные угрозы безопасности персональным данным и разрабатывать эффективные способы противодействия.

3.2.10. Прекратить обработку, передачу (распространение, предоставление, доступ) персональных данных и уничтожить персональные данные в порядке и случаях, предусмотренных Законом.

3.2.11. Исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 

4.1. Субъект персональных данных имеет право: 

4.1.1. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:

4.1.1.1. Подтверждение факта обработки персональных данных оператором.

4.1.1.2. Правовые основания и цели обработки персональных данных.

4.1.1.3. Применяемые оператором способы обработки персональных данных.

4.1.1.4. Наименование и место нахождения Оператора, сведения о лицах (за исключением

работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании

федерального закона.

4.1.2. Требовать от Оператора уточнения персональных данных, их блокирования или

уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.1.3. Отозвать согласие на обработку персональных данных.

4.1.4 Обжаловать в уполномоченный орган по защите прав субъектов персональных данных

или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

4.1.5. Пользоваться иными правами, предусмотренными законодательством РФ.

4.2. Субъект персональных данных обязан: 

4.2.1. Соблюдать положения настоящей Политики.

4.2.2. Представлять Оператору достоверные данные о себе. Лица, передавшие Оператору

недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.

4.2.3. Своевременно информировать Оператора об уточнении (обновлении, изменении) своих

персональных данных.

5. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

5.1.  Сбор и обработка персональных данных Оператором осуществляется в целях:

5.1.1. Ведение кадрового и бухгалтерского учёта.

5.1.2. Обеспечение соблюдения трудового, налогового, пенсионного и страхового законодательства.

5.1.6. Подготовка, заключение и исполнение гражданско-правовых договоров.

5.1.7. Подбор персонала (соискателей).

5.1.8. Продвижение товаров, услуг на рынке.

5.1.9. Обеспечение пропускного режима на территорию Оператора.

5.2. Обработка персональных данных, несовместимая с целями сбора персональных данных,

не допускается.

6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

6.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

6.2. Оператор обрабатывает персональные данные на основании:

6.2.1. Конституции Российской Федерации.

6.2.2. Трудового кодекса Российской Федерации.

6.2.3. Гражданского кодекса Российской Федерации.

6.2.4.Федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с обработкой персональных данных.

6.2.5. Устава и локальных актов Оператора, регулирующих обработку персональных данных.

6.2.6. Договоров, заключаемых между Оператором и субъектами персональных данных.

6.2.7. Согласий на обработку персональных данных.

7. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ 

7.1. Категории субъектов персональных данных, чьи данные обрабатываются Оператором:

7.1.1. Работники Оператора, бывшие работники, кандидаты на трудоустройство, а также члены семей указанных лиц.

7.1.2.Физические лица: заказчики услуг, соискатели, контрагенты и их законные представители.

7.1.3. Представители/работники контрагентов – юридических лиц.

7.1.4. Посетители Сайта Оператора.

7.2. В отношении работников, бывших работников, членов их семей  и соискателей обрабатываются следующие персональные данные:

− фамилия, имя, отчество;

− дата рождения;

− место рождения;

− адрес регистрации;

− адрес фактического места жительства;

− гражданство;

− серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

− образование, квалификация;

– данные иммиграционной карты;

– данные патента или разрешения на работу;

−серия и номер документа об образовании/квалификации, сведения о выдаче указанного документа и выдавшем его образовательном учреждении;

− сведения о повышении квалификации, о профессиональной переподготовке;

− сведения о трудовой деятельности;

− профессия, предыдущая должность;

− стаж работы;

− сведения о семейном положении, наличии детей;

− данные страхового свидетельства государственного пенсионного страхования;

− идентификационный номер налогоплательщика;

− сведения о доходах (за 2 предыдущих года для расчета пособий);

− сведения о воинском учете;

− сведения о наградах (поощрениях), почетных званиях;

– сведения о социальных гарантиях;

− сведения о состоянии здоровья, влияющие на выполнение трудовой функции;

− банковские реквизиты счета;

− сведения о заработной плате;

− содержание трудового договора;

– личное фото;

− контактный телефон;

− адрес электронной почты.

7.3. В отношении заказчиков, контрагентов (физических лиц) и их законных представителей  обрабатываются:

− фамилия, имя, отчество;

− дата рождения;

− адрес регистрации;

− гражданство;

− серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

− банковские реквизиты счета;

− контактный телефон;

− адрес электронной почты.

7.4. В отношении посетителей Сайта оператора обрабатываются:

– фамилия, имя, отчество

– телефон

– электронная почта.

7.5. В случае необходимости могут обрабатываться и иные персональные данные.

8. УСЛОВИЯ ОБРАБОТКИ И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

8.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями зако­нодательства Российской Федерации и подразумевает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу (предоставление, доступ,  распространение), обезличивание, блокирование, удаление, уничтожение.

8.2. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональ­ных данных.

8.3. Оператор получает данные непосредственно от Субъектов персональных данных в устной или письменной форме, а также размещенные на сайте Оператора, которые в целях обработки вносятся в журналы, базы и информационные системы.

8.4. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

8.5. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

8.6. Субъект персональных данных вправе отозвать согласие на обработку его персональных данных путем направления Оператору письменного уведомления с требованием о прекращении обработки персональных данных. Оператор прекращает обработку персональных данных и уничтожает их в срок, не превышающий 30 (тридцати) календарных дней со дня получения такого уведомления, кроме данных, необходимых для хранения в соответствии с действующим законодательством Российской Федерации.

8.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия, а также выявление неправомерной обработки персональных данных.

8.8. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

8.9. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

8.10. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

8.11. Оператор принимает необходимые правовые, организационные и технические меры для защиты пер­сональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирова­ния, распространения и других несанкционированных действий.

8.12. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хра­нения персональных данных не установлен федеральным законом, договором или соглашением.

8.13. Оператор организует обучение работников, осуществляющих обработку персональных данных.

8.14. При работе с персональными данными, в том числе посредством информационно-телекоммуникационной сети интернет, Оператор использует базы данных, находящиеся на территории Российской Федерации.

9. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, ПЕРЕДАЧА И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, РЕАГИРОВАНИЕ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 

9.1. Актуализация и исправление персональных данных

9.1.1. Оператор осуществляет актуализацию и исправление персональных данных при подтверждении факта неточности персональных данных либо при направлении субъектом или его законным представителем запроса на уточнение/актуализацию персональных данных.

9.1.2. При предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения в  срок, не превышающий  7 (семи) рабочих дней.

9.2. Передача персональных данных

9.2.1. Оператор предоставляет доступ к персональным данным только субъекту

персональных данных либо его законному представителю в соответствии с требованием законодательства РФ.

9.2.2. Оператор не передает персональные данные, полученные от субъекта персональных

данных, третьим лицам, кроме случаев, предусмотренных действующим законодательством РФ.

9.3. Уничтожение персональных данных 

9.3.1. Оператор уничтожает обрабатываемые персональные данные при наступлении следующих условий и в следующие сроки:

9.3.1.1. Достижение указанных целей обработки персональных данных или максимальных сроков хранения – в течение 30 (тридцати) дней.

9.3.1.2.  Предоставление субъектом или его законным представителем подтверждения того,

что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 (семи) дней.

9.3.1.3.  Отзыв субъектом согласия на обработку его персональных данных – в течение 30 (тридцати) дней.

9.3.1.4. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 9.1 и 9.2 Оператор осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

9.3.1.5. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя. 

9.4. Регламент реагирования на запросы/обращения субъектов персональных данных

9.4.1. Субъект ли его законный представитель может обратиться лично в офис Оператора с обращением или направить запрос как в письменной, так и в электронной форме. К письменным запросам субъектов относятся любые письменные обращения субъектов, направленные в адрес Оператора, в том числе обращения, отправленные через отделения почтовой связи.

9.4.2. К электронным запросам субъектов относятся обращения, направленные по электронной почте. В данном случае запрос подписывается ЭП субъекта в соответствии с законодательством РФ.

9.4.3. Оператором не обрабатываются запросы, связанные с передачей или разглашением персональных данных, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность субъекта.

9.4.4. При личном обращении субъекта работником Оператора, назначенным ответственным

за организацию обработки персональных данных, выясняются:

9.4.4.1. Фамилия, имя и отчество субъекта или его законного представителя;

9.4.4.2. Реквизиты документа, удостоверяющего личность субъекта или его законного

представителя (серия, номер, сведения о дате выдачи и выдавшем органе).

9.4.4.3. Суть обращения.

9.4.5. При личном обращении субъект (или его законный представитель)  оформляет письменный запрос. В случае необходимости работник Оператора, назначенный ответственным за организацию обработки персональных данных, запрашивает дополнительную информацию у субъекта или его законного представителя.

9.4.6. Срок предоставления ответа субъекту (или его законному представителю) не превышает 30 (тридцати) рабочих дней с момента личного обращения или получения Оператором запроса.

10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. В соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных Оператором применяются  правовые, организационные и технические меры защиты  персональных данных.

10.2. Основными мерами защиты персональных данных, используемыми Оператором, являются:

10.2.1. Определение актуальных угроз безопасности персональных  данных при их обработке в ИСПДн  и разработка мер и мероприятий по защите ПДн.

10.2.2. Назначение ответственного лица, в обязанности которого входит организация работы с персональными данными, обучение и инструктаж персонала, внутренний контроль за соблюдением работниками Общества требований к защите ПДн.

10.2.3. Разработка политики в отношении обработки персональных данных, принятие локальные нормативных актов и иных документов, регулирующих отношения в сфере обра­ботки и защиты персональных данных.

10.2.4. Учёт документов, содержащих персональные данные.

10.2.5. Установление правил доступа к персональным данным и средствам их обработки, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными  в ИСПДи.

10.2.6. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

10.2.7. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

10.2.8. Использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.

10.2.9. Соблюдение условий, обеспечивающих сохранность ПДн и исключающих
несанкционированный доступ к ним.

10.2.10. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер  защиты.

10.2.11. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

10.2.12. Осуществление внутреннего контроля и аудита.

10.2.13. Своевременное доведение до работников, непосредственно осуществляющих обработку персональных данных, изменений в законодательства РФ о персональных данных, требований локальных актах Оператора, регулирующих  вопросы обработки ПДн.

11. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Оператор  обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 

12.1.  Политика обработки персональных данных является общедоступным документом.

12.2. Политика может быть изменена Оператором в одностороннем порядке без предварительного уведомления пользователей. Новая редакция Политики вступает в силу с момента ее размещения в информационно-телекоммуникационной сети интернет по адресу: https://lavanda-med.ru.