1.Общие положения
1.1. Настоящий документ (далее – Политика) определяет политику ООО «Содействие-2014» (далее – Организация, Клиника) в отношении обработки персональных данных и определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Организации.
1.2. Настоящая Политика разработана в соответствии с требованиями нормативных правовых актов:
- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
- Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
- Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Иных нормативных правовых актов Российской Федерации.
1.3. В Политике используются следующие основные понятия:
Оператор персональных данных (далее оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики оператором является Организация.
Персональные данные –любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных– действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных– действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных– временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных– действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных– передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4. Принципы обработки персональных данных в Организации
Обработка персональных данных осуществляется в ООО «Содействие-2014» на законной и справедливой основе.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. В обработку персональных данных не допускаются сведения, избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных обеспечиваются их точность и достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Организация принимает необходимые меры по удалению или уточнению неполных или неточных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Организация обязана не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, еслииноене предусмотрено федеральным законом.
2.Цели обработки персональных данных
2.1. Цели обработки персональных данных в Организации определяются выполнением имеющихся у нее полномочий по осуществлению медицинской деятельности и обязанностей по обеспечению соответствия деятельности юридического лица законодательству Российской Федерации, а именно:
- поиск и отбор кандидатов на вакантные должности, рассмотрение вопроса о приеме на работу и возможного трудоустройства
- выполнение функции работодателя,в т.ч. ведение и предоставление отчетности в государственные, муниципальные органы и учреждения, военный комиссариат.
-оказание платных медицинских услуг, в том числе ведение медицинской документации;
- заключение договоров гражданско-правового характера на выполнение работ/оказание услуг, начислению платы согласно договору, исчислению и уплаты предусмотренных законодательством налогов и сборов;
- поддержка интерактивных возможностей веб-сайта, приложения и социальных сетей Организации, включающая формы обратной связи, регистрацию/авторизацию на сайте, запись на прием онлайн, обработку запросов, информационные рассылки;
3. Категории субъектов персональных данных
Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
- кандидаты на замещение вакантных должностей;
-работники, родственники работников, бывшие работники;
-клиенты и их представители;
-контрагенты, партнеры Организации – физические лица, работники контрагентов и партнеров – юридических лиц, индивидуальных предпринимателей;
-пользователи сайта Организации, иных информационных ресурсов Организации в сети Интернет.
4. Объем, порядок и условия обработки персональных данных применительно к конкретным целям
Объем, порядок и условия обработки персональных данных в Организации соответствует заявленным целям обработки, а именно:
4.1. Цель: поиск и отбор кандидатов на вакантные должности, рассмотрение вопроса о приеме на работу и возможного трудоустройства
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Категории субъектов, персональные данные которых обрабатываются: кандидаты на замещение вакантных должностей.
Перечень действий: сбор; запись, хранение, использование, удаление, уничтожение.
Способы обработки: смешанная; без передачи по внутренней сети юридического лица; без передачи по сети Интернет.
Способ хранения: на бумажных и электронных носителях.
Сроки обработки: до решения вопроса о трудоустройства, но не позднее 31 декабря года, следующего за годом, в котором подано заявление соискателем.
Перечень персональных данных:
- фамилия, имя, отчество;
- дата рождения;
- серия и номер паспорта;
- гражданство;
- номер контактного телефона;
- сведения об образовательных учреждениях, в которых получено образование, о специальности, квалификации;
- опыт работы по должности, на которую претендует кандидат;
- сведения о государственных/ведомственных наградах ;
- данные документов о присвоении ученой степени, ученого звания;
- сведения о наличии или отсутствии ограничений заниматься медицинской деятельностью;
- уровень знания иностранных языков;
-иная информация в предусмотренных законом случаях.
4.2. Цель: Выполнение функции работодателя, в т.ч. ведение и предоставление отчетности в государственные, муниципальные органы и учреждения, военный комиссариат.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, в том числе на основании законодательства о труде и охране труда, законодательства о социальном и пенсионном обеспечении, о воинском учете и воинской обязанности.
Категории субъектов, персональные данные которых обрабатываются: работники; родственники работников; бывшие работники.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, распространение, доступ); блокирование; удаление.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Способ хранения: на бумажных носителях, на электронных носителях, в информационных системах.
Сроки обработки: определяется сроками хранения, установленными в соответствии с номенклатурой дел, установленной в Организации, Перечнем, утвержденном приказом Росархива от 20.12.2019 № 236. Если срок хранения не установлен в законе, номенклатуре, договоре, срок хранения персональных данных – до 31 декабря года, в котором было их последнее использование. Срок использования персональных данных – до достижения целей использования.
Перечень персональных данных:
- фамилия, имя, отчество (в т.ч. предыдущие), сведения и реквизиты документа о смене фамилии, имени, отчества;
- данные о трудовом договоре, его реквизитах и содержании (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
- дата и место рождения;
- паспортные данные;
- данные загранпаспорта;
- семейное положение;
-данные о составе и членах семьи— ФИО детей/супруга, количество, возраст детей;
- гражданство;
- адрес регистрации/фактического проживания, дата регистрации;
- номер контактного телефона, электронной почты;
- стаж работы, трудовая деятельность до приема на работу (в т.ч. на государственной службе)/по основному месту работы;
- идентификационный номер о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН);
- данные страхового номера индивидуального лицевого счета (СНИЛС);
- данные обязательного медицинского полиса;
- отношение к воинской обязанности и иные сведения военного билета/приписного удостоверения;
- данные документов о профессиональном образовании, о повышении квалификации, о профессиональной переподготовке, о стажировке, о подтверждении специальных знаний;
- данные документов о присвоении ученой степени, ученого звания;
- список научных трудов и изобретений;
- сведения о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);
- уровень знания иностранных языков;
- реквизиты расчетного счета в банке/номер карты;
- сведения о социальных льготах;
- информация о негосударственном пенсионном обеспечении;
- должность, квалификационный уровень;
- сведения о заработной плате (доходах);
- фотографии в личном деле;
- данные водительского удостоверения;
- информация о применении взысканий за невыполнение обязанностей по воинскому учёту,
- информация о прохождении военных сборов;
-иная информация в предусмотренных законом случаях.
Специальные категории персональных данных: сведения о состоянии здоровья, данные документов об инвалидности работника и родственников (при наличии согласия родственника), данные заключения медицинского осмотра;
4.3. Цель: оказание платных медицинских услуг, в том числе ведение медицинской документации.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; обработка персональных данных осуществляется для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; обработка персональных данных осуществляется в соответствии с законодательством об охране здоровья граждан.
Категории субъектов, персональные данные которых обрабатываются: клиенты Организации.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление;
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Способ хранения: на бумажных носителях, на электронных носителях, в информационных системах.
Сроки обработки: определяются сроками хранения медицинской документации, установленными нормативными правовыми актами Российской Федерации. Медицинские карты хранятся 25 лет по истечении срока действия договора об оказании медицинских услуг.
Перечень персональных данных:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- адрес регистрации/фактического проживания;
- контактный телефон;
-адрес электронной почты;
- паспортные данные;
- данные страхового медицинского полиса (ДМС);
- номер полиса ОМС;
- данные о составе семьи;
- место работы/ учебы;
- идентификационный номер о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН);
-иная информация в предусмотренных законом случаях.
Специальные категории персональных данных:
- данные о состоянии здоровья, заболеваниях;
- случаи обращения за медицинской помощью;
- данные диагностических исследований (в т.ч. рентгенодиагностические снимки);
- фотопротокол (фотофиксация) в процессе планирования и осуществления лечения;
- анамнез;
- диагноз;
- сведения об организации, осуществляющей медицинскую деятельность;
- вид оказанной медицинской помощи;
- условия оказания медицинской помощи;
- сроки оказания медицинской помощи;
- объем оказанной медицинской помощи, включая сведения об оказанных медицинских услугах;
- результат обращения за медицинской помощью;
- серия и номер выданного листка нетрудоспособности;
- сведения о проведенных медицинских экспертизах, медицинских осмотрах и медицинских освидетельствованиях и их результаты;
- примененные клинические рекомендации;
- сведения о медицинском работнике или медицинских работниках, оказавших медицинскую помощь, проводивших медицинские экспертизы, медицинские осмотры и медицинские освидетельствования;
- иные сведения, необходимые медицинской организации в соответствии с действующим законодательством Российской Федерации в области персональных данных, с помощью которых можно идентифицировать субъекта персональных данных.
4.4. Цель: заключение договоров гражданско-правового характера на выполнение работ/оказание услуг, начисление платы согласно договору, исчисление и уплата предусмотренных законодательством налогов и сборов, иных обязательных платежей.
Правовое основание обработки персональных данных:обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, в том числе предусмотренных гражданским, налоговым законодательством.
Категории субъектов, персональные данные которых обрабатываются: контрагенты, партнеры Организации – физические лица, работники контрагентов и партнеров - юридических лиц и индивидуальных предпринимателей.
Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление;
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Способ хранения: на бумажных носителях, на электронных носителях, в информационных системах
Сроки обработки: в течение 5 лет после окончания действия (окончания, прекращения, расторжения) договорных отношений;
Перечень персональных данных:
- фамилия, имя, отчество;
- дата рождения;
- гражданство;
- занимаемая должность;
- контактный телефон;
-адрес электронной почты;
- серия и номер паспорта;
- СНИЛС
- ИНН
- документы об образовании, квалификации, лицензии.
4.5. Цель: Поддержка интерактивных возможностей веб-сайта, приложения и социальных сетей Организации, включающая формы обратной связи, регистрацию/авторизацию на сайте, запись на прием онлайн, обработку запросов пациентов, информационные рассылки
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, в том числе об охране здоровья граждан, об информации и информатизации, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Категории субъектов, персональные данные которых обрабатываются:пользователи сайта Организации, иных информационных ресурсов Организации в сети Интернет.
Перечень действий:Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки: смешанная с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Способ хранения: в информационной системе
Сроки обработки: 1 год
Перечень персональных данных:
- фамилия, имя, отчество;
- идентификатор соцсети, контактный телефон, e-mail;
- логин, пароль (личного кабинета);
- номер карты в Организации;
-сведения о намерении обратиться за медицинской помощью.
5. Меры по защите персональных данных
5.1. Обеспечение безопасности персональных данных в Организации достигается, в частности:
5.1.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
5.1.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
5.1.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
5.1.4. Применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
5.1.5. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5.1.6. Учетом машинных носителей персональных данных;
5.1.7. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
5.1.8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5.1.9. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
5.1.10. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.2. В целях исполнения перечисленных мер:
5.2.1. В Организации назначается ответственный по обеспечению безопасности персональных данных;
5.2.2. Проводится мониторинг соблюдения пользователями требований к обработке персональных данных;
5.2.3. Обеспечивается поддержание средств охраны, сигнализации в постоянной готовности;
5.2.3. Принимаются локальные акты по вопросам обработки персональных данных, предотвращения и выявления нарушений законодательства Российской Федерации, устранения последствий таких нарушений, привлечения виновных к ответственности.
5.2.4. Обеспечивается ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
5.2.5. Осуществляется блокирование несанкционированного доступа (установка паролей доступа на ПЭВМ, на которых осуществляется обработка персональных данных);
5.2.6. Используются средства защиты от несанкционированного доступа (системы разграничения прав доступа к информации, криптографическая защита, использование программ архивирования информации с использованием метода шифрования и кодированием передаваемых данных на ПЭВМ, обрабатывающих персональные данные, веб-интерфейс с установленными сертификатами и аутентификацией пользователя) ;
5.2.7. Обеспечивается предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок;
5.2.8. Организуется ограничение доступа пользователей в помещения, где хранятся носители информации;
5.2.9. Носители информации размещаются в пределах контролируемой зоны;
5.2.10. Обеспечивается обособление информации, содержащей персональные данные, от иной информации путем фиксации их на отдельных материальных носителях;
5.2.11. Определяется порядок хранения материальных носителей персональных данных и устанавливается перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ;
5.2.12. Обеспечивается раздельное хранение материальных носителей персональных данных, обработка которых осуществляется в различных целях;
5.2.13. Соблюдаются условия, обеспечивающие сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов-носителей персональных данных в специально оборудованных местах, сейфах, металлических шкафах, установление решеток на окна, охранно-пожарной сигнализации.
5.2.14. Осуществляется внутренний контроль (аудит) соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Организации;
6. Рассмотрение запросов субъектов персональных данных и их представителей
6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения оператором своих обязанностей, установленных ст. 18.1 Федерального закона «О персональных данных»;
11) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
6.2. Сведения, указанные в п.6.1 настоящего раздела Политики, предоставляются в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Данные сведения предоставляются в течение десяти рабочих дней с момента обращения либо получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Организацией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Организация предоставляет запрашиваемые сведения в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
6.3. В случае, если запрашиваемые сведения были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Организацию или направить ей повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно к Организации или направить ей повторный запрос в целях получения сведений до истечения вышеуказанного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
6.4.Организация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 6.3 настоящей Политики. Такой отказ долен быть мотивированным.
6.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.6. Субъект персональных данных вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Действия Организации при получении требования субъекта персональных данных об уточнении, блокировании или уничтожении персональных данных указаны в п 7.6-7.8.
6.7. Субъект персональных данных вправе отозвать согласие на обработку персональных данных. Действия Организации при получении отзыва согласия указаны в п. 7.11.
6.8. Субъект персональных данных вправе обратиться к Организации с требованием о прекращении обработки персональных данных. Действия Организации при получении требования о прекращении обработки персональных данных указаны в п.7.12.
7. Обязанности Организации
7.1. При сборе персональных данных Организация предоставляет субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, в порядке, предусмотренном законодательством.
7.2. Если в соответствии с федеральным законодательством предоставление персональных данных и (или) получение Организацией согласия на обработку персональных данных являются обязательными, субъекту персональных данных разъясняются юридические последствия отказа от предоставления его персональных данных и (или) дачи согласия на их обработку.
7.3. Если персональные данные получены не от субъекта персональных данных, Организация, за исключением случаев, предусмотренных п. 7.4 настоящего раздела Политики, до начала обработки таких персональных данных в обязательном порядке предоставляет субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) перечень персональных данных;
4) предполагаемые пользователи персональных данных;
5) установленные настоящим Федеральным законом права субъекта персональных данных;
6) источник получения персональных данных.
7.4. Организация освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 7.3 настоящего раздела Политики, в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) персональные данные получены Организацией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных федеральным законодательством;
4) осуществляется обработка персональных данных для статистических или иных исследовательских целей, либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5) предоставление субъекту персональных данных соответствующих сведений нарушает права и законные интересы третьих лиц.
7.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных федеральным законом.
7.6.В случае выявления неправомерной обработки персональных данных Организация обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных Организация обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.7. В случае подтверждения факта неточности персональных данных Организация на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.8. В случае выявления неправомерной обработки персональных данных, осуществляемой Организацией или лицом, действующим по ее поручению, она в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Организации. В случае, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожаются такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Организация уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
7.9. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Организация обязана с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Организацией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.10. В случае достижения цели обработки персональных данных Организация обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законом.
7.11. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Организация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законом.
7.12. В случае обращения субъекта персональных данных к Организации с требованием о прекращении обработки персональных данных, она в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных федеральным законом.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Организацией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.13. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.7.12 настоящего раздела, Организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.14. Подтверждение уничтожения персональных данных в случаях осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
8. Порядок уничтожения персональных данных
при достижении целей обработки или при наступлении
иных законных оснований
8.1. Уничтожение персональных данных осуществляется в соответствии с порядком уничтожения персональных данных, действующим в Организации, требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
8.2. Ответственным за документооборот и архивирование осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
8.3. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии, состав которой утверждается приказом Организации.
8.4. По окончании процедуры уничтожения составляется соответствующий Акт об уничтожении документов, содержащих персональные данные и (для информационных систем) производится выгрузка из журнала регистрации событий в информационной системе персональных данных.
Ответственный за организацию обработки персональных данных в ООО «Содействие-2014» —
Шаврина Евгения Владимировна.