г. Астрахань, Переулок Березовский д.3, помещение 01
пн-пт 10:00–20:00; сб 10:00–18:00; вс выходной
1. Общие положения
1.1. Политика общества с ограниченной ответственностью «А.МЕДИКАЛ» (далее – ООО «А.МЕДИКАЛ», Оператор) в отношении обработки персональных данных (далее – Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, и с учетом требований законодательства Российской Федерации в области персональных данных.
1.2. Настоящая Политика определяет общие принципы, условия и порядок обработки персональных данных, а также реализуемые Оператором меры защиты прав субъектов персональных данных.
1.3. Настоящая Политика является общедоступным документом и публикуется в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора по адресу: https://amedical30.ru.
1.4. Политика вступает в силу с даты утверждения и действует бессрочно до ее замены новой версией. Уведомлением об утверждении новой версии Политики является ее публикация на официальном сайте Оператора, указанном в п.1.3.
1.5. Положения настоящей Политики распространяются на сотрудников Оператора, лиц, заключивших договоры с Оператором, а также на иных лиц в случаях необходимости их участия в процессах обработки персональных данных.
1.6. Оператор зарегистрирован уполномоченным органом по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, или Роскомнадзор) в реестре операторов, осуществляющих обработку персональных данных (https://pd.rkn.gov.ru/operators-registry/operators-list/), регистрационный номер5-25-004054. В реестре указаны предусмотренные законодательством Российской Федерации сведения об операторе.
1.7. Все вопросы и предложения по поводу настоящей Политики, а также запросы и обращения, в том числе запросы субъекта персональных данных, следует направлять Оператору по адресу электронной почты amedical_centr@bk.ru или почтовый адрес: 414040, г. Астрахань, пер. Березовский д.3.
1.8. Основные понятия, используемые в Политике:
• оператор персональных данных– государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• информационная система персональных данных (ИСПДн)– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работника, требование не допускать их передачу (распространение, предоставление, доступ) без согласия работника или иного законного основания;
• неавтоматизированная обработка персональных данных – обработка персональных данных без помощи средств вычислительной техники;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• персональные данные специальной категории – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости субъекта персональных данных;
• персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством РФ;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Права и обязанности Оператора
2.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных»;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, пунктах 2-4, 6-10 части 2 статьи 10 и части 2 статьи 11 федерального закона «О персональных данных»;
4) отстаивать свои интересы в суде;
5) предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством Российской Федерации.
2.2. Оператор обязан:
1) до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных;
2) организовывать обработку персональных данных в соответствии с требованиями законодательства РФ;
3) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с Правилами рассмотрения запросов субъектов персональных данных или их представителей в ООО «А.МЕДИКАЛ»;
4) сообщать уполномоченный орган по защите прав субъектов персональных данныхпо запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса;
5) соблюдать конфиденциальность персональных данных.
3. Права и обязанности субъектов персональных данных
3.1. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
2) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) обжалование в суде любых неправомерных действий или бездействия ООО «А.МЕДИКАЛ» при обработке и защите его персональных данных.
3.2. Субъект персональных данных обязан обеспечить достоверность своих персональных данных, предоставляемых Оператору.
4. Цели сбора персональных данных
4.1. Обработка персональных данных Оператором осуществляется в следующих целях:
1) ведения кадрового и бухгалтерского учета;
2) обеспечения соблюдения трудового законодательства Российской Федерации (в том числе предоставление сведений в банк для оформления банковской карты и перечисление на счет банковской карты заработной платы, предоставление социальных гарантий, содействие работникам в трудоустройстве, получении образования, продвижении по работе, контроль количества и качества выполняемой работы);
3) обеспечения соблюдения пенсионного законодательства Российской Федерации;
4) обеспечения соблюдения законодательства Российской Федерации об обороне;
5) обеспечения соблюдения налогового законодательства (в том числе предоставление работодателем установленной законодательством отчетности в отношении физических лиц, предоставление стандартных налоговых вычетов на детей работника);
6) подготовки, заключения и исполнения гражданско-правового договора;
7) обеспечения соблюдения законодательства Российской Федерации в сфере здравоохранения;
8) оказания медицинских услуг физическим лицам в области косметологии;
9) обеспечения соблюдения законодательства Российской Федерации в сфере образования;
10) осуществление образовательной деятельности;
11) осуществления связи с физическими лицами для направления им ответов на их запросы, уведомлений, информационных сообщений.
5. Правовые основания обработки персональных данных
5.1. Правовым основанием обработки персональных данных являются:
1) совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:
• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
• Федеральный закон от 31.05.1996 № 61-ФЗ «Об обороне»,
• Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации»;
• Федеральный закон от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации»;
• иные нормативные правовые акты Российской Федерации в области правового регулирования обработки персональных данных;
2) уставные документы ООО «А.МЕДИКАЛ»;
3) договоры, заключаемые между Оператороми субъектом персональных данных;
4) согласия субъектов персональных данных.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
6.1. Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:
1) работники Оператора, в том числе уволенные работники, а также родственники работников Оператора;
2) физические лица, состоящие в гражданско-правовых отношениях с Оператором, выполняющие для Оператора работы или оказывающие услуги;
3) контрагенты и представители контрагентов;
4) клиенты (пациенты), их представители;
5) обучающиеся;
6) посетители сайта, принадлежащего Оператору;
7) физические лица, обратившиеся к Оператору с использованием контактной информации или средств сбора обратной связи.
6.2. Перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы их обработки и сроки обработки для каждой цели обработки персональных данных представлены в Приложении №1 к Политике.
6.3. ООО «А.МЕДИКАЛ»не обрабатывает персональные данные субъектов персональных данных специальной категории, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, членства в общественных объединениях или его профсоюзной деятельности.
6.4. Обработка специальной категории персональных данных пациентов (сведений о состоянии здоровья) осуществляетсялицом, профессионально занимающимся медицинской деятельностью, обязанным всоответствии с законодательством РФ сохранять врачебную тайну.
6.5. Обработка биометрических персональных данных не производится.
7. Порядок и условия обработки персональных данных
7.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации и с соблюдением принципов, условий и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
7.2. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к основным целям, указанным в разделе 4.
7.3. Обработка персональных данных Оператором ведется в неавтоматизированном и автоматизированном виде.
7.4. Действия с персональными данными включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7.5. Получение доступа к обработке персональных данных производится на основании приказа директора Оператора.
7.6. Оператором осуществляется хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7.7. Персональные данные хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством Российской Федерации, в том числе Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации», Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»и локальными нормативными актами Оператора.
7.8. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 федерального закона «О персональных данных».
7.9. Персональные данные при их обработке без использования средств автоматизации, обособляются от иной информации, а также от иных персональных данных, цели обработки которых заведомо не совместимы, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
7.10. Условием прекращения обработки персональных данных может являться:
1) достижение целей обработки персональных данных или утрата необходимости в их достижении;
2) истечение срока действия согласия;
3) отзыв согласия субъекта персональных данных на обработку его персональных данных;
4) выявление неправомерной обработки персональных данных.
7.11. Сроки уничтожения персональных данных:
1) при достижении целей обработки персональных данных или утрата необходимости в их достижении – в течение 30 дней;
2) в случае истечения срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных – в течение 30 дней;
3) в случае выявления неправомерной обработки персональных данныхили обращения субъекта персональных данных с требованием о прекращении обработки персональных данных– в течение 10 рабочих дней.
7.12. Оператор не осуществляет трансграничную передачу персональных данных.
7.13. Оператор может передавать персональные данные третьим лицам в рамках исполнения обязанностей, возложенных на Оператора законодательством РФ, либо с согласия субъекта персональных данных.
7.14. Обработка персональных данных может осуществляться Оператором в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
7.15. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта.
7.16. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом «О персональных данных».
7.17. В случаях обработки персональных данных, явно непредусмотренных действующим законодательством Российской Федерации или договором с субъектом, такая обработка осуществляется после получения согласия субъекта персональных данных.
7.18. Оператор может получать согласие в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, в том числе в следующих формах:
1) письменный документ, собственноручно подписанный субъектом персональных данных, в случаях, предусмотренных требованиями законодательства Российской Федерации;
2) конклюдентная форма: согласие может быть выражено в форме совершения субъектом персональных данных определенных действий:
• продолжения использования веб-сайтов Оператора, взаимодействия сих пользовательскими интерфейсами после уведомления пользователя обобработке данных;
• проставления соответствующих отметок, заполнения полей вформах, бланках;
• поддержания электронной переписки, вкоторой говорится обобработке;
• прохода натерриторию после ознакомления спредупреждающими табличками изнаками;
• иных действий, совершаемых субъектом, покоторым можно судить оего волеизъявлении;
3) электронный документ, подписанный электронной подписью.
7.19. Согласие субъекта на обработку персональных данных только в письменной форме или в форме электронного документа, подписанного электронной подписью, может быть взято Оператором в следующих случаях:
1) согласие на обработку персональных данных специальных категорий;
2) согласие на обработку биометрических данных;
3) согласие на трансграничную передачу данных в страны, не обеспечивающие адекватный уровень защиты прав субъектов;
4) согласие на включение персональных данных в общедоступные источники;
5) согласие на принятие решений, затрагивающих права и законные интересы субъекта, на основании исключительно автоматизированной обработки данных без участия человека;
6) согласие работника на обработку его персональных данных посредством их получения от третьих лиц или их передачи третьим лицам.
7.20. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. При этом субъекту персональных данных предоставлена возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.21. В случаях обработки персональных данных, полученных не от субъекта напрямую, а от третьих лиц на основании договора поручения или иных соглашений, обязанность получения согласия субъекта может быть возложена на лицо, от которого получены персональные данные.
7.22. В случае отказа субъекта от предоставления в необходимом и достаточном объеме его персональных данных, Оператор не сможет осуществить необходимые действия для достижения соответствующих обработке целей.
8. Обеспечение безопасности персональных данных
8.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер Оператор определяет самостоятельно.
8.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:
• Приказом назначено лицо, ответственное за организацию обработки персональных данных;
• Назначено должностное лицо, на которое возложены обязанности по технической защите персональных данных (администратор безопасности информации);
• Разработаны документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (утверждены Положение об обработке и защите персональных данных работников и Положение об обработке и защите персональных данных пациентов, приказы о перечне лиц, допущенных к обработке персональных данных, инструкция о порядке учета, хранения и уничтожения электронных и бумажных носителей, порядок доступа в помещения, в которых обрабатываются ПДн и т.п.);
• применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных с учетом уровней защищенности персональных данных (осуществляется разграничение прав доступа к информационным ресурсам информационных систем; используются стойкие пароли для входа в систему; опечатываются системные блоки автоматизированных рабочих мест и т.п.);
• утверждены правила проведения контроля соответствия обработки персональных данных Законодательству РФ и принятыми в соответствии с ним нормативным правовым актам;
• работники ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
• производится учет машинных носителей персональных данных;
• установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных и т.п.
Приложение №1 к политике ООО «А.МЕДИКАЛ» в отношении обработки персональных данных — просмотреть или скачать
Скан-копии оригиналов документов:
1. Политика в отношении обработки персональных данных
2. Положение об обработке и защите персональных данных
3. Правила рассмотрения запросов субъектов персональных данных или их представителей
