ПОЛИТИКА

 

обработки и защиты персональных данных в ООО «ГОРИЗОНТ»

 

г. Тверь                                                                                                                                                                                                                                                                          01.07.2017 г.

 

1. Общие положения

 

1.1. Настоящий документ определяет Политику обработки и защиты персональных данных в ООО «ГОРИЗОНТ» (далее - «Оператор») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - «Политика») в соответствии со статьей 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и распространяется на все процессы Оператора, связанные с обработкой персональных данных.

1.3. Настоящая Политика регламентируется в соответствии с:

- Конституцией Российской Федерации,

- Гражданским кодексом Российской Федерации,

- Трудовым кодексом Российской Федерации,

- Федеральным законом "Об информации, информационных технологиях и о защите информации" N 149-ФЗ от 27.07.2006 года,

- Федеральным законом "О персональных данных" N 152-ФЗ от 27.07.2006 года,

- Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

- Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных",

- Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации",

- другими нормативно-правовыми актами Российской Федерации, относящимися к вопросу обработки и защиты персональных данных,

- уставными документами Оператора,

- договорами, заключаемыми между Оператором и субъектом персональных данных,

- согласием на обработку персональных данных субъектов персональных данных.

1.4. Политика вступает в силу с момента подписания генеральным директором Оператора приказа об утверждении Политики и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Клиента. Политика действует бессрочно, до его отмены. Все изменения в Политику вносятся приказом генерального директора Оператора.

1.5. Основные понятия, используемые в Политике:

- персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В настоящем Положении под «Оператором» понимается ООО «ГОРИЗОНТ»;

- лаборатория – сторонняя медицинская лаборатория, которая на основании договора с ООО «ГОРИЗОНТ» выполняет анализы для клиентов оператора. Название конкретной лаборатории и адрес указываются в согласии на обработку персональных данных с клиентом.

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- защита персональных данных - деятельность Оператора по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- информация – сведения (сообщения, данные) независимо от формы их представления;

- конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

- общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

- работник - физическое лицо, вступившее в трудовые отношения с Оператором;

- соискатель - физическое лицо, претендующее на занятие вакантной должности в штате Оператора;

- клиент - физическое лицо (субъект), обратившееся непосредственно в ООО «ГОРИЗОНТ» или к лицу, имеющему договорные отношения с Оператором с целью получения медицинских и/или немедицинских услуг, оказываемых Оператором; разместившее заказ на получение медицинских и/или немедицинских услуг у Оператора; либо состоящее в иных гражданско-правовых отношениях с Оператором по вопросам получения медицинских и/или немедицинских услуг; а также официальный представитель - физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с Оператором;

1.6. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Настоящая Политика устанавливает обязательные для сотрудников Оператора общие требования и правила по работе со всеми видами носителей информации, содержащими ПДн всех категорий.

 

2. Цели и принципы обработки ПДн

 

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

2.3. К целям обработки персональных данных Оператора относятся:

- предоставление медицинских и немедицинских услуг Клиентам;

- заключение, исполнение и прекращение Оператором гражданско-правовых договоров;

- регулирование трудовых отношений с Работниками, организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;

 

 

- ведение кадрового делопроизводства, содействие Соискателям, Работникам в трудоустройстве у Оператора, обучении и продвижении по службе, пользовании льготами, обеспечении личной безопасности Работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Оператора, Работника и третьих лиц;

- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;

- заполнение статистической документации в соответствии с трудовым, налоговым

законодательством и иными федеральными законами;

- проведение Оператором рекламных и маркетинговых мероприятий в отношении Клиентов.

2.4. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка ПДн осуществляется Оператором в том числе на основании следующих принципов:

  • обработка ПДн осуществляется на законной и справедливой основе;

  • соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;

  • обработка персональных данных исключительно с целью исполнения своих обязательств Оператором перед Клиентом, Работником, Соискателем;

  • сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;

  • выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;

  • соблюдение прав субъекта персональных данных на доступ к его персональным данным;

  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

  • обработке подлежат только ПДн, которые отвечают целям их обработки;

  • содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

  • при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;

  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн (обрабатываемые ПДн по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию).

 

3. Объем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

 

3.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям

обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к

заявленным целям их обработки.

3.2. Обработка персональных данных допускается в следующих случаях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем, непосредственным получателем, заказчиком услуги или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона "О персональных данных", при условии обязательного обезличивания персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

 

3.3. К категориям субъектов персональных данных относятся:

 

3.3.1. Работники Оператора, бывшие работники, соискатели на замещение вакантных должностей, а также близкие родственники работников Оператора, получатели алиментов от работников Оператора.

В данной категории субъектов оператором могут обрабатываться некоторые из нижеизложенных

персональных данных в связи с реализацией трудовых отношений:

- фамилия, имя, отчество;

- пол;

- гражданство;

- национальность;

- дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);

- адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);

- сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);

- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;

- данные свидетельства рождении ребенка;

- замещаемая должность;

- сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));

- идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);

- данные страхового свидетельства обязательного пенсионного страхования;

- данные полиса обязательного медицинского страхования;

- данные паспорта или иного удостоверяющего личность документа;

- данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

- данные трудовой книжки, вкладыша в трудовую книжку;

- сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа,

выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе, о медицинском освидетельствовании и прививках);

- данные из медицинской книжки работника: осмотр врачей, прививки, медицинские заключения;

- сведения об образовании (наименование образовательной организации, дата (число, месяц, год)

окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);

- сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам);

- сведения о владении иностранными языками (иностранный язык, уровень владения);

- сведения о дисциплинарных взысканиях;

- сведения о семейном положении (реквизиты свидетельства о заключении брака);

- сведения о близких родственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);

- сведения, содержащиеся в справках о доходах и обязательствах имущественного характера;

- сведения, содержащиеся в трудовой книжке;

- номер расчетного счета и банковской карточки;

- фотографии;

- другая информация, необходимая для реализации трудовых отношений.

3.3.2. Действительные и потенциальные Клиенты, их законные представители; члены семей и иные родственники действительных и потенциальных Клиентов Оператора; физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором.

В данной категории субъектов Оператором могут обрабатываться некоторые из нижеизложенных персональных данных, полученные Оператором в связи с заключением договора, стороной которого является субъект персональных данных, и используемые Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);

- адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);

- сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);

- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;

- идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет,

дата (число, месяц, год) выдачи свидетельства);

- данные паспорта или иного удостоверяющего личность документа;

- данные свидетельства о рождении;

- место работы, занимаемая должность;

- семейное положение;

- образование;

- номер расчетного счета и банковской карты;

- результаты выполненных медицинских исследований, тестов, экспертиз;

- персональные данные, касающиеся состояния здоровья клиента, заболеваниях, случаях обращения за медицинской помощью (если их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов);

- наличие/отсутствие инвалидности;

- группа крови, резус-фактор;

- фотография, пригодная для идентификации). Данная информация берется только на материальном носителе и передается сразу в Лабораторию, которая выполняет анализ ДНК. Оператор данную информацию не обрабатывает в своей информационной системе;

- срок и данные о беременности (тях);

- срок и данные о замершей беременности (тях);

- другая информация, необходимая для правильного проведения и интерпретации медицинских и немедицинских исследований, тестов, экспертиз (необходима в некоторых случаях для установки правильных пограничных значений результатов) и проведения лечения клиента, а также для исполнения договора, заключенного с субъектом персональных данных.

 

3.3.3. Действительные и потенциальные Клиенты, их законные представители, члены семей и иные родственники действительных и потенциальных Клиентов Оператора - физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором, которым Лаборатория оказывает услуги по выполнению медицинских анализов в рамках договора Оператора с Лабораторией. ПДн обрабатывает только Лаборатория.

В данной категории субъектов ПДн указаны ПДн, которые получены Оператором в связи с заключением договора, стороной которого является субъект персональных данных, при оказании субъекту ПДн медицинских анализов Лабораторией. ПДн используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

ПДн передаются Оператором в Лабораторию с целью выполнения анализов в рамках заключенного договора клиента с оператором. Оператор производит сбор ПДн и сразу передает их на материальном носителе в Лабораторию для выполнения анализов. Оператор не обрабатывает их в своей информационной системе. ПДн данной категории могут включать некоторые из следующих данных:

- персональные данные, касающиеся состояния здоровья клиента, заболеваниях, случаях обращения за медицинской помощью (если их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов);

- данные свидетельства о рождении;

- фотография, пригодная для идентификации;

- расовая принадлежность (ДНК тесты: для биологического/предполагаемого родителя (родственников по линии предполагаемого родителя);

- срок и данные о беременности (тях);

- срок и данные о замершей беременности (тях);

- данные о наличии генетических заболеваний у членов семьи.

- другая информация, необходимая для правильного проведения и интерпретации медицинских и немедицинских исследований, тестов, экспертиз (необходима в некоторых случаях для установки правильных пограничных значений результатов) и проведения лечения клиента, а также для исполнения договора, заключенного с субъектом персональных данных.

 

3.3.4. Действительные и потенциальные Клиенты, их законные представители, члены семей и иные родственники действительных и потенциальных Клиентов Оператора - физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором, которым Лаборатория оказывает услуги по выполнению медицинских анализов в рамках договора Оператора с Лабораторией. ПДн обрабатывает Оператор и Лаборатория.

В данной категории субъектов ПДн указаны ПДн, которые получены Оператором в связи с заключением договора, стороной которого является субъект персональных данных, при оказании субъекту ПДн медицинских анализов Лабораторией. ПДн используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

ПДн передаются Оператором в Лабораторию с целью выполнения анализов в рамках заключенного договора клиента с Оператором.

Данную категорию ПДн обрабатывает Оператор и Лаборатория.

ПДн данной категории могут включать некоторые из следующих данных:

- фамилия, имя, отчество;

- пол;

- дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);

- адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);

- сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);

- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;

- идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет,

дата (число, месяц, год) выдачи свидетельства);

- данные паспорта или иного удостоверяющего личность документа;

- номер расчетного счета и банковской карты;

- другая информация, необходимая для правильного проведения и интерпретации медицинских и немедицинских исследований, тестов, экспертиз (необходима в некоторых случаях для установки правильных пограничных значений результатов) и проведения лечения клиента, а также для исполнения договора, заключенного с субъектом персональных данных.

 

3.3.5. Работники и представители контрагентов Оператора (юридических лиц).

В данной категории субъектов оператором могут обрабатываться нижеизложенные персональные данные, полученные оператором в связи с заключением договора, стороной которого является клиент/контрагент (юридическое лицо), и используемые оператором исключительно для исполнения указанного договора:

- фамилия, имя, отчество;

- пол;

- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;

- замещаемая должность;

- данные паспорта или иного удостоверяющего личность документа;

- другая информация, необходимая для исполнения договорных отношений.

 

3.3.6. Посетители частных и публичных мероприятий, организованных Оператором

В данной категории субъектов оператором могут обрабатываться нижеизложенные персональные данные, полученные оператором в связи с участием субъекта в мероприятиях, организованных Оператором:

- фамилия, имя, отчество;

- пол;

- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;

- замещаемая должность;

- другая информация, необходимая для исполнения положений нормативных актов, указанных в п.1.3. настоящей Политики и целей обработки ПДн.

 

3.3.7. Лица, участвующие в гражданском, арбитражном, уголовном, административном процессах и исполнительном производстве (участником которых является ООО «ГОРИЗОНТ»);

В данной категории субъектов оператором могут обрабатываться нижеизложенные персональные данные:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);

- адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);

- сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);

- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;

- другая информация, необходимая для исполнения положений нормативных актов, указанных в п.1.3.

настоящей Политики и целей обработки ПДн.

 

3.3.8. Посетители помещений, зданий и территории Оператора.

В данной категории субъектов оператором могут обрабатываться нижеизложенные персональные данные:

- фамилия, имя, отчество;

- дата (число, месяц, год);

- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;

- другая информация, необходимая для исполнения положений нормативных актов, указанных в п.1.3.

настоящей Политики и целей обработки ПДн.

 

3.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается:

- в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.

3.5. Обработка специальных категорий персональных данных о состоянии здоровья субъекта осуществляется Оператором в соответствии с требованиями законодательства, а также с письменного согласия субъектов персональных данных.

 

4. Обработка и хранение персональных данных

 

4.1. Получение персональных данных

4.1.1. Все ПДн следует получать от самого субъекта. Информация о персональных данных субъекта предоставляется оператору субъектом устно, либо путем заполнения учетных документов, а также путем предоставления копий и оригиналов, предоставленных субъектом документов. В отдельных случаях персональные данные субъекта (Клиента) могут получены с его слов и не проверяются.

4.1.2. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено письменное согласие (либо письменный отказ).

4.1.3. В уведомлении Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

4.1.4. Документы, содержащие ПДн создаются путем:

а) копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН и др.);

б) внесения сведений в учетные формы (документы);

в) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Оператором, определяется в соответствии

с законодательством и определяется внутренними регулятивными документами Оператора.

4.1.5. В отношении ПДн, полученных от категории субъектов ПДн 3.3.3., Оператор получает от клиента персональные данные с целью передать их напрямую в Лабораторию.

4.2. Обработка персональных данных.

4.2.1.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение

(обновление, изменение), извлечение, использование, передачу (предоставление, доступ),

обезличивание, блокирование, удаление и уничтожение ПДн.

4.2.1.2. Обработка персональных данных субъекта осуществляется:

с согласия субъекта персональных данных на обработку его персональных данных;

в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

4.2.2 Обработка ПДн Оператором ведется:

- с использование средств автоматизации (автоматизированная обработка ПДн);

- без использования средств автоматизации.

4.2.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой и законодательством Российской Федерации.

Правовым основанием обработки персональных данных являются: совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных; уставные документы Оператора; договоры, заключаемые между Оператором и субъектом персональных данных; договора, заключаемые между Оператором и контрагентом, и контрагентом с субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4.2.4. В целях обеспечения прав и свобод человека и гражданина Оператор при обработке персональных данных субъекта обязан соблюдать следующие общие требования:

4.2.4.1. Обработка персональных данных субъекта должна осуществляться на законной и

справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств между Оператором и Клиентом;

4.2.4.2. При определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации и иными нормативными правовыми

актами.

4.2.4.3. Получение персональных данных может осуществляться как путем личного представления, так и путем получения их из иных источников.

4.2.4.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

4.2.4.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.2.4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.2.4.7. При идентификации субъекта Оператор может затребовать предъявления документов, удостоверяющих личность субъекта и подтверждающих полномочия представителя.

4.2.4.8. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.2.4.9. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных.

4.2.4.10. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2.5. В отношении ПДн, полученных от категории субъектов ПДн 3.3.3., Оператор не обрабатывает и не хранит в своей информационной системе данные ПДн.

4.3. Хранение персональных данных.

4.3.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

4.3.2. ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях Оператора с ограниченным правом доступа.

4.3.3. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в локальной компьютерной сети Оператора, в электронных папках и файлах в персональных компьютерах сотрудников, допущенных к обработке персональных данных субъектов.

4.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках).

4.3.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.3.6. При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".

4.4. Уничтожение персональных данных.

4.4.1. Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

4.4.2. ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.

4.4.3. Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

4.4.4. Оператор прекращает обработку персональных данных или обеспечивает прекращение обработки персональных данных лицом, действующим по поручению оператора:

- в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;

- в случае достижения цели обработки персональных данных и уничтожения персональных данных или обеспечение их уничтожения (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 

5. Организация защиты персональных данных.

 

5.1. Защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из правовой, организационной и технической защиты.

5.2. Оператор назначает ответственное лицо за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите ПДн.

5.2.1. Ответственное лицо Оператора обеспечивает защиту хранящихся персональных данных субъектов на бумажных носителях и машинных носителях информации от несанкционированного доступа и копирования согласно "Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", утвержденному постановлением Правительства РФ от 15 сентября 2008 г. N 687.

5.2.2. Ответственное лицо Оператора обеспечивает защиту обрабатываемых персональных данных субъектов в информационных системах персональных данных и машинных носителях информации, в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

5.3. К обработке персональных данных в ООО «ГОРИЗОНТ» допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:

- ознакомление сотрудника с локальными нормативными актами Оператора (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными клиентов;

- взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных клиентов при работе с ними;

- получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам компании, содержащим в себе персональные данные субъектов (Клиентов).

5.3.1. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.

5.3.2. Сотрудники, имеющие доступ к персональным данным клиентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

5.3.3. Оператор проводит обучение работников, непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

5.3.4. Оператор устанавливает индивидуальные пароли доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

5.4. Оператор обеспечивает сертифицированные антивирусное программное обеспечение с регулярно обновляемыми базами; программное средство защиты информации от несанкционированного доступа.

5.5. Защите подлежат:

5.5.1. Информация о персональных данных субъекта.

5.5.2. Документы на бумажных носителях, содержащие персональные данные субъекта.

5.5.3. Персональные данные, содержащиеся на электронных носителях.

5.6. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года N 152-ФЗ "О персональных данных", в том числе:

1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

2) принимает организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применяет прошедшую в установленном порядке процедуру оценки соответствия средств защиты

информации;

4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) осуществляет учет машинных носителей персональных данных;

6) осуществляет поиск фактов несанкционированного доступа к персональным данным и принятие мер по данным фактам;

7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

8) устанавливает правила доступа к персональным данным, обрабатывает в информационной системе персональные данные, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролирует принимаемые меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.7. Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 года N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.

5.8. Оператором производится устранение выявленных нарушений законодательства об обработке и

защите ПДн.

 

6. Передача персональных данных.

 

6.1. Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, при поступлении официальных запросов в соответствии с положениями Федерального закона "Об оперативно-розыскных мероприятиях", при поступлении официальных запросов из налоговых органов, органов Пенсионного фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, предусмотренных иными федеральными законами.

В данном случае Оператор ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.

6.2. Передача персональных данных Оператором третьим лицам может допускаться только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

6.3. В отношении ПДн, полученных от категории субъектов ПДн 3.3.3. и 3.3.4., Оператор передает ПДн на материальном носителе в Лабораторию с согласия субъекта ПДн (Согласие на обработку персональных данных). Конкретное наименование и местонахождение Лаборатории указывается в согласии на обработку персональных данных.

6.4. При передаче персональных данных субъекта третьим лицам Оператор обязуется предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.

6.5. При трансграничной передаче персональных данных в соответствии с действующим законодательством Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Оператор осуществляет трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных с письменного согласия субъектов персональных данных (клиентов).

6.6. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону или факсу.

6.7. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого клиента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения могут выступать:

- нотариально заверенная доверенность;

- собственноручно написанная клиентом доверенность в присутствии сотрудника Оператора и им заверенная.

 

7. Права и обязанности Оператора, субъекта персональных данных

 

7.1. Оператор обязуется:

- Обеспечить защиту персональных данных субъектов от их неправомерного использования или утраты в порядке, установленном законодательством РФ.

- Осуществлять обработку персональных данных субъектов исключительно в целях оказания законных услуг субъектам.

- Не получать и не обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом и разделом 3 настоящей Политики.

- Обеспечить возможность субъекту или его представителю ознакомиться с настоящей Политикой и их правами в области защиты персональных данных.

- В случае реорганизации или ликвидации Оператора обеспечить учет и сохранность документов, порядок передачи их на хранение в соответствии с правилами, предусмотренными действующим законодательством Российской Федерации.

- По требованию субъекта или его законного представителя предоставить полную информацию о его

персональных данных и обработке этих данных.

- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона "О персональных данных".

- Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (Семь) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (Семь) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

- В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (Семь) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

7.2. Оператор персональных данных вправе:

- отстаивать свои интересы в суде;

- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

7.3. Права субъектов персональных данных:

- Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в ООО «ГОРИЗОНТ».

- Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных; правовые основания и цели обработки персональных данных; цели и применяемые способы обработки персональных данных; сведения о лицах (за исключением сотрудников компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных своих прав.

Получить данную информацию субъект персональных данных может обратившись с письменным запросом к Оператору. Ответ направляется по адресу, указанному в запросе, в течении 30 дней.

- Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

- Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

- Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в ООО «ГОРИЗОНТ». Оператор рассматривает обращения и запросы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций.

- Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

- Субъект персональных данных вправе оформить доверенность на право доступа к его персональным данным.

7.4. В целях обеспечения достоверности персональных данных субъект персональных данных обязан:

- При заключении договора предоставить Оператору полные и достоверные данные о себе.

- В случае изменения сведений, составляющих персональные данные субъекта, незамедлительно

предоставить данную информацию Оператору.

7.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

7.5.1 Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.

7.5.2 При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.

7.5.3 Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

7.5.4 Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7.5.5 Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

 

8. Ответственность за нарушение норм,

регулирующих обработку персональных данных

 

8.1. Оператор несет ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.

8.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные субъекта, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

8.3. Любое лицо может обратиться к Оператору с жалобой на нарушение норм данной Политики и действующего законодательства по вопросам защиты персональных данных. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в тридцатидневный срок со дня поступления.

8.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

 

9. Заключительные положения

 

9.1 Настоящая Политика может быть пересмотрена в результате изменений нормативных актов, регулирующих обработку и защиту персональных данных и деятельность Оператора.

9.2 Действующая Политика размещается в открытом доступе на официальном сайте Оператора: http://icgor.ru

9.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Оператором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

9.4. Действующая редакция хранится в месте нахождения Оператора.

9.5. Настоящая Политика не распространяется на отношения, возникающие при:

- организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

9.6. В случаях, не указанных в настоящей Политике, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.

9.7. Все работники Оператора должны быть ознакомлены с настоящей Политикой под роспись.