Стомэкс
Стоматология личных рекомендаций
Дикопольцева, 10
(4212) 44-44-50
(4212) 44-44-50
Политика обработки персональных данных в ООО «Стомэкс»
Общие положения
1.1. Основные понятия, используемые в данном документеПерсональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) – государственный орган, муниципальный
орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами
организующий и (или) осуществляющий обработку персональных данных, а также
определяющий цели обработки персональных данных, состав персональных данных,
подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность
действий (операций) с персональными данными, совершаемых с использованием средств
автоматизации или без их использования. Обработка персональных данных включает в себя:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение)
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
Автоматизированная обработка персональных данных – обработка персональных
данных с использованием средств автоматизации.
Распространение персональных данных – действия, направленные на раскрытие
персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения
персональных данных).
Уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных.
Трансграничная передача персональных данных – передача персональных данных на
территорию иностранного государства местному органу власти, иностранному физическому
или юридическому лицу.
1.2. Сведения об операторе
Полное наименование оператора: ООО «Стомэкс» (далее – Оператор).
Юридический адрес Оператора: 680007, Хабаровский край, г. Хабаровск, ул.
Волочаевская, д. 10.
1.3. Назначение и область действия политики персональных данных
Настоящая Политика обработки персональных данных (далее – Политика) разработана
в соответствии с п. 2 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных
данных» и действует в отношении персональных данных (далее – ПДн), которые Оператор
может получить от субъекта персональных данных и (или) от его законного представителя.
Настоящая Политика направлена на защиту прав и свобод субъектов
ПДн, персональные данные которых обрабатываются в информационных системах
персональных данных (далее – ИСПДн) ООО «Стомэкс».
Настоящий документ определяет цели и общие принципы обработки ПДн, а также
реализуемые меры защиты персональных данных, обрабатываемых в ИСПДн. Политика
является общедоступным документом и предусматривает возможность ознакомления с ней
любых лиц.
Политика распространяется на ПДн, полученные как до, так и после подписания
настоящей Политики.
Политика действует бессрочно после утверждения и до ее замены новой редакцией.
1.4. Основные права и обязанности оператора
При сборе ПДн Оператор обязан предоставить субъекту ПДн и (или) его законному
представителю по его просьбе следующую информацию:
2
подтверждение Оператором факта обработки ПДн;
правовые основания и цели обработки ПДн;
цели и применяемые Оператором способы обработки ПДн;
наименование и место нахождения Оператора, сведения о лицах (за исключением
работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн
на основании договора с Оператором или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник
их получения, если иной порядок представления таких данных не предусмотрен
федеральными законами;
сроки обработки ПДн, в том числе сроки их хранения;
информацию об осуществленной или о предполагаемой трансграничной передаче
данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего
обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому
лицу;
иные сведения, предусмотренные федеральными законами.
Оператор освобождается от обязанности предоставить субъекту персональных данных
вышеуказанные сведения, если:
субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим
оператором;
ПДн получены Оператором на основании федерального закона или в связи
с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по
которому является субъект ПДн;
субъектом ПДн сделаны общедоступными ПДн или получены из общедоступного
источника;
Оператор осуществляет обработку ПДн для статистических или иных
исследовательских целей, для осуществления профессиональной деятельности журналиста
либо научной, литературной или иной творческой деятельности,
если при этом не нарушаются права и законные интересы субъекта ПДн;
предоставление субъекту ПДн вышеуказанных сведений нарушает права и законные
интересы третьих лиц.
1.5. Основные права и обязанности субъекта ПДн
Субъект ПДн имеет право на получение сведений, указанных в ч. 7 ст. 14 Федерального
закона №152-ФЗ. Право субъекта персональных данных на доступ к его персональным данным
может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона №152-ФЗ. Субъект
ПДн вправе требовать от Оператора уточнения его ПДн, их блокирование или уничтожение в
случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными
или не являются необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав.
Сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, должны быть
предоставлены субъекту ПДн Оператором в доступной форме, при этом в них не должны
содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если
имеются законные основания для раскрытия таких ПДн.
Сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, предоставляются
Оператором субъекту ПДн или его представителю при обращении либо при получении
запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного
документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате
выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие
субъекта ПДн в отношениях с Оператором (номер договора, дата его заключения, условное
словесное обозначение и (или) иные сведения), либо сведения, иным образом
подтверждающие факт обработки Оператором ПДн, подпись субъекта ПДн или его
представителя. Запрос может быть направлен в форме электронного документа и подписан
электронной подписью в соответствии с законодательством Российской Федерации.
В случае если сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, а также
обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу,
субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в
целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона №152-ФЗ, и
ознакомления с такими ПДн не ранее чем через 30 дней после первоначального обращения
или направления первоначального запроса, если более короткий срок не установлен
федеральным законом, принятым в соответствии с ним нормативным правовым актом или
договором, стороной которого либо выгодоприобретателем или поручителем по которому
является субъект ПДн.
Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный
запрос в целях получения сведений, указанных в ч. 7 ст. 14 Федерального закона №152-ФЗ, а
3
также в целях ознакомления с обрабатываемыми ПДн до истечения 30-дневного срока в
случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для
ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос должен содержать обоснование направления повторного запроса.
Цели обработки персональных данных в ИСПДн
2.1. Ведение кадрового и бухгалтерского учета.
Категория субъектов, ПДн которых обрабатываются – Работники.
Категории ПДн: иные и общедоступные категории ПДн до 100000 субъектов ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; год рождения; месяц
рождения; дата рождения; место рождения; семейное положение; адрес места жительства;
адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего
личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета;
профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о
трудовой занятости на текущее время с указанием наименования и расчетного счета
организации); отношение к воинской обязанности, сведения о воинском учете; сведения об
образовании; Состав семьи (муж/жена, дети) ; информация о детях и иждивенцах (фамилия,
имя, отчество, дата рождения, возраст, родство, категория, инвалидность, вычеты); вычеты
НДФЛ (вид вычета, дата начала, дата окончания, сумма)); данные об аттестации работников;
данные о повышении квалификации; данные о наградах, медалях, поощрениях, почетных
званиях; сведения о наличии/отсутствии судимости
Правовое основание обработки ПДн: обработка персональных данных осуществляется
с согласия субъекта персональных данных на обработку его персональных данных;; обработка
персональных данных необходима для достижения целей, предусмотренных международным
договором Российской Федерации или законом, для осуществления и выполнения
возложенных законодательством Российской Федерации на оператора функций, полномочий
и обязанностей.
Способы обработки ПДн: сбор; запись; систематизация; накопление; хранение;
уточнение (обновление, изменение);извлечение; использование; передача (предоставление,
доступ); обезличивание; блокирование; удаление; уничтожение.
Хранение персональных данных осуществляется в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных
данных, если срок хранения персональных данных не установлен федеральным законом,
договором, стороной которого, выгодоприобретателем или поручителем, по которому
является субъект персональных данных.
Документы, содержащие персональные данные, хранятся в запирающихся шкафах
(сейфах), доступ к которым имеют только лица, допущенные к обработке персональных
данных.
Хранение персональных данных в электронном виде осуществляется в
информационной инфраструктуре Оператора.
Сроки обработки и хранения ПДн: обработка и хранение субъектов ПДн
осуществляются не дольше, чем этого требуют цель обработки ПДн, если отсутствуют
законные основания для дальнейшей обработки, например, если федеральным законом или
договором с субъектом ПДн не установлен соответствующий срок хранения.
Порядок и условия обработки ПДн:
Обрабатываемые ПДн подлежат уничтожению либо обезличиванию при наступлении
следующих условий:
предоставление субъектом ПДн или его законным представителем подтверждения
того, что ПДн являются незаконно полученными или не являются необходимыми для
заявленной цели обработки – в течение 7 дней;
невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
истечение сроков исковой давности для правоотношений, в рамках которых
осуществляется либо осуществлялась обработка ПДн;
ликвидация Оператора.
Трансграничная передача ПДн не осуществляется.
Оператор предпринимает необходимые правовые, организационные и технические
меры для обеспечения безопасности обрабатываемых ПДн для их защиты от
несанкционированного (в том числе случайного) доступа, уничтожения, изменения,
блокирования доступа и других несанкционированных действий. К таким мерам, в частности,
относятся:
назначение работников, ответственных за организацию обработки и обеспечение
безопасности ПДн;
4
издание локальных актов по вопросам обработки ПДн, ознакомление с ними
работников, обучение пользователей;
обеспечение физической безопасности помещений и средств обработки,
пропускного режима, охраны помещений и видеонаблюдения;
ограничение и разграничение доступа работников и иных лиц к ПДн и средствам
обработки, организация мониторинга действий с ПДн;
определение угроз безопасности ПДн при их обработке, формирование на их основе
моделей угроз безопасности ИСПДн;
применение средств обеспечения безопасности информации;
учет и хранение носителей информации, исключающее их хищение, подмену,
несанкционированное копирование и уничтожение;
резервное копирование информации для возможности ее восстановления;
осуществление внутреннего контроля за соблюдением установленного порядка,
проверка эффективности принятых мер, реагирование на инциденты.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении
иных законных оснований прекращения обработки: носители, содержащие персональные
данные субъектов ПДн, уничтожаются комиссией по уничтожению ПДн, утверждённой
приказом руководителя (далее – Комиссия).
Комиссия производит отбор носителей Пдн, подлежащих уничтожению, с указанием
основания для уничтожения. На все носители ПДн, подлежащие уничтожению, составляется
акт об уничтожении персональных данных. Комиссия проверяет наличие всех носителей ПДн,
включенных в акт.
Уничтожение носителей ПДн производится в присутствии всех членов Комиссии.
Уничтожение ПДн, хранящихся на жестком диске компьютера, производится с
использованием штатных средств операционной системы компьютера с последующим
обязательным «очищением корзины».
При достижении цели обработки ПДн, а также в случае отзыва субъектом ПДн согласия
на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено
договором, стороной которого либо выгодоприобретателем или поручителем, по которому
является субъект ПДн.
2.2. оказание медицинских услуг клиентам.
Категория субъектов, ПДн которых обрабатываются – Клиенты.
Категории ПДн: иные и специальные категории ПДн до 100000 субъектов ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; год рождения; месяц
рождения; дата рождения; место рождения; семейное положение; социальное положение;
имущественное положение; доходы; пол; адрес места жительства; адрес регистрации; номер
телефона; СНИЛС; данные документа, удостоверяющего личность; профессия; сведения об
образовании; сведения о состоянии здоровья, реквизиты полиса ОМС (ДМС) данные о случаях
обращения за медицинской помощью, данные о заболеваниях; сведения о лечении (дата и
время приемов, операция, результаты приема, лечащие врачи); план лечения; сведения о
полученных услугах (наименование, цена, количество)
Правовое основание обработки ПДн: обработка персональных данных осуществляется
с согласия субъекта персональных данных на обработку его персональных данных;; обработка
персональных данных необходима для исполнения договора, стороной которого либо
выгодоприобретателем или поручителем по которому является субъект персональных данных,
а также для заключения договора по инициативе субъекта персональных данных или договора,
по которому субъект персональных данных будет являться выгодоприобретателем или
поручителем. Заключаемый с субъектом персональных данных договор не может содержать
положения, ограничивающие права и свободы субъекта персональных данных.
Способы обработки ПДн: сбор; запись; систематизация; накопление; хранение;
уточнение (обновление, изменение);извлечение; использование; обезличивание;
блокирование; удаление; уничтожение.
Хранение персональных данных осуществляется в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных
данных, если срок хранения персональных данных не установлен федеральным законом,
договором, стороной которого, выгодоприобретателем или поручителем, по которому
является субъект персональных данных.
Документы, содержащие персональные данные, хранятся в запирающихся шкафах
(сейфах), доступ к которым имеют только лица, допущенные к обработке персональных
данных.
Хранение персональных данных в электронном виде осуществляется в
информационной инфраструктуре Оператора.
5
Сроки обработки и хранения ПДн: обработка и хранение субъектов ПДн
осуществляются не дольше, чем этого требуют цель обработки ПДн, если отсутствуют
законные основания для дальнейшей обработки, например, если федеральным законом или
договором с субъектом ПДн не установлен соответствующий срок хранения.
Порядок и условия обработки ПДн:
Обрабатываемые ПДн подлежат уничтожению либо обезличиванию при наступлении
следующих условий:
предоставление субъектом ПДн или его законным представителем подтверждения
того, что ПДн являются незаконно полученными или не являются необходимыми для
заявленной цели обработки – в течение 7 дней;
невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
истечение сроков исковой давности для правоотношений, в рамках которых
осуществляется либо осуществлялась обработка ПДн;
ликвидация Оператора.
Трансграничная передача ПДн не осуществляется.
Оператор предпринимает необходимые правовые, организационные и технические
меры для обеспечения безопасности обрабатываемых ПДн для их защиты от
несанкционированного (в том числе случайного) доступа, уничтожения, изменения,
блокирования доступа и других несанкционированных действий. К таким мерам, в частности,
относятся:
назначение работников, ответственных за организацию обработки и обеспечение
безопасности ПДн;
издание локальных актов по вопросам обработки ПДн, ознакомление с ними
работников, обучение пользователей;
обеспечение физической безопасности помещений и средств обработки,
пропускного режима, охраны помещений и видеонаблюдения;
ограничение и разграничение доступа работников и иных лиц к ПДн и средствам
обработки, организация мониторинга действий с ПДн;
определение угроз безопасности ПДн при их обработке, формирование на их основе
моделей угроз безопасности ИСПДн;
применение средств обеспечения безопасности информации;
учет и хранение носителей информации, исключающее их хищение, подмену,
несанкционированное копирование и уничтожение;
резервное копирование информации для возможности ее восстановления;
осуществление внутреннего контроля за соблюдением установленного порядка,
проверка эффективности принятых мер, реагирование на инциденты.
Порядок уничтожения ПДн при достижении целей их обработки или при наступлении
иных законных оснований прекращения обработки: носители, содержащие персональные
данные субъектов ПДн, уничтожаются комиссией по уничтожению ПДн, утверждённой
приказом руководителя (далее – Комиссия).
Комиссия производит отбор носителей Пдн, подлежащих уничтожению, с указанием
основания для уничтожения. На все носители ПДн, подлежащие уничтожению, составляется
акт об уничтожении персональных данных. Комиссия проверяет наличие всех носителей ПДн,
включенных в акт.
Уничтожение носителей ПДн производится в присутствии всех членов Комиссии.
Уничтожение ПДн, хранящихся на жестком диске компьютера, производится с
использованием штатных средств операционной системы компьютера с последующим
обязательным «очищением корзины».
При достижении цели обработки ПДн, а также в случае отзыва субъектом ПДн согласия
на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено
договором, стороной которого либо выгодоприобретателем или поручителем, по которому
является субъект ПДн.
2.3. Прием обращений через форму обратной связи.
Категория субъектов, ПДн которых обрабатываются – Посетители сайта.
Категории ПДн: иные категории ПДн до 100000 субъектов ПДн.
Перечень обрабатываемых ПДн: адрес электронной почты