ЦСКА, Ходынский бульвар, 20 А, Б-54 (4 этаж)
Профсоюзная, Профсоюзная улица, 7/12
Положение об обработке и защите персональных данных
1. Общие положения
Настоящее Положение определяет политику в отношении обработки персональных данных (далее Политика) разработана в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года № 152-ФЗ, в целях реализации в Клинике лазерной эпиляции и косметологии LaserProBeauty (далее – Клиника) положений нормативных правовых актов, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Клиникой, в том числе защиты прав на неприкосновенность частной жизни.
Политика является основой для организации обработки и защиты персональных данных, в том числе для разработки локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных в Клинике, и определяет:
– принципы обработки персональных данных, которыми руководствуется Клиника при осуществлении деятельности;
– правовые основания обработки персональных данных;
– цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
– основных участников системы управления процессом обработки и защиты персональных данных;
– основы организации процесса управления обработкой персональных данных;
– основы порядка рассмотрения обращений субъектов персональных данных по вопросам обработки персональных данных;
– меры обеспечения конфиденциальности и безопасности персональных данных;
– права и обязанности Клиники и субъектов персональных данных.
Требования Политики являются обязательными для исполнения всеми работникам Клиники. Субъекты персональных данных могут ознакомиться с условиями Политики в информационно телекоммуникационной сети «Интернет» на официальном сайте, размещенном по адресу: https://www.lpb-laser.ru.
Настоящее Положение определяет политику в отношении обработки персональных данных (далее Политика) разработана в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года № 152-ФЗ, в целях реализации в Клинике лазерной эпиляции и косметологии LaserProBeauty (далее – Клиника) положений нормативных правовых актов, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Клиникой, в том числе защиты прав на неприкосновенность частной жизни.
Политика является основой для организации обработки и защиты персональных данных, в том числе для разработки локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных в Клинике, и определяет:
– принципы обработки персональных данных, которыми руководствуется Клиника при осуществлении деятельности;
– правовые основания обработки персональных данных;
– цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
– основных участников системы управления процессом обработки и защиты персональных данных;
– основы организации процесса управления обработкой персональных данных;
– основы порядка рассмотрения обращений субъектов персональных данных по вопросам обработки персональных данных;
– меры обеспечения конфиденциальности и безопасности персональных данных;
– права и обязанности Клиники и субъектов персональных данных.
Требования Политики являются обязательными для исполнения всеми работникам Клиники. Субъекты персональных данных могут ознакомиться с условиями Политики в информационно телекоммуникационной сети «Интернет» на официальном сайте, размещенном по адресу: https://www.lpb-laser.ru.
2. Основные понятия, используемые в политике
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Клиенты Клиники – лица, заключившие договоры на оказание услуг, а также обратившиеся в Клинику за оказанием услуг.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Представитель
1) законный представитель субъекта персональных в соответствии с законодательством Российской Федерации;
2) представитель субъекта персональных данных, действующий на основании доверенности;
3) представитель в соответствии с требованиями применимых нормативных правовых актов Российской Федерации;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Потенциальный клиент – физическое лицо, которое обратилось за продуктами и/или сервисами, и/или услугами Клиники, в том числе за консультацией относительно условий договора, преимуществ продуктов и/или сервисов, и/или услуг, и/или заинтересовано в получении/приобретении указанных продуктов, сервисов, услуг, но еще не заключило договор, на основании которого может получить указанные продукты и/или сервисы, и/или услуги;
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Третье лицо – юридическое лицо; индивидуальный предприниматель; физическое лицо, применяющее специальный налоговый режим (самозанятый); физическое лицо, занимающееся частной практикой (нотариус, адвокат и прочие физические лица, которые в соответствии
с применимым законодательством Российской Федерации являются лицами, занимающимися частной практикой), вступившее с Клиникой в договорные отношения, не связанные с предоставлением Клиникой продуктов, сервисов, услуг, и/или взаимодействующие по вопросам сотрудничества, не связанного с предоставлением Клиникой продуктов, сервисов, услуг.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Клиенты Клиники – лица, заключившие договоры на оказание услуг, а также обратившиеся в Клинику за оказанием услуг.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Представитель
1) законный представитель субъекта персональных в соответствии с законодательством Российской Федерации;
2) представитель субъекта персональных данных, действующий на основании доверенности;
3) представитель в соответствии с требованиями применимых нормативных правовых актов Российской Федерации;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Потенциальный клиент – физическое лицо, которое обратилось за продуктами и/или сервисами, и/или услугами Клиники, в том числе за консультацией относительно условий договора, преимуществ продуктов и/или сервисов, и/или услуг, и/или заинтересовано в получении/приобретении указанных продуктов, сервисов, услуг, но еще не заключило договор, на основании которого может получить указанные продукты и/или сервисы, и/или услуги;
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Третье лицо – юридическое лицо; индивидуальный предприниматель; физическое лицо, применяющее специальный налоговый режим (самозанятый); физическое лицо, занимающееся частной практикой (нотариус, адвокат и прочие физические лица, которые в соответствии
с применимым законодательством Российской Федерации являются лицами, занимающимися частной практикой), вступившее с Клиникой в договорные отношения, не связанные с предоставлением Клиникой продуктов, сервисов, услуг, и/или взаимодействующие по вопросам сотрудничества, не связанного с предоставлением Клиникой продуктов, сервисов, услуг.
3. Принципы обработки персональных данных
Организация обработки и защиты персональных данных в Клинике, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом нижеследующих принципов обработки персональных данных, которые являются основой соблюдения требований законодательства Российской Федерации, обеспечения конфиденциальности и безопасности персональных данных субъектов персональных данных, а также защиты прав субъектов персональных данных:
– осуществление обработки персональных данных на законной и справедливой основе;
– обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
– обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
– недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
– обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
– осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше,
чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Клиники), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
Организация обработки и защиты персональных данных в Клинике, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом нижеследующих принципов обработки персональных данных, которые являются основой соблюдения требований законодательства Российской Федерации, обеспечения конфиденциальности и безопасности персональных данных субъектов персональных данных, а также защиты прав субъектов персональных данных:
– осуществление обработки персональных данных на законной и справедливой основе;
– обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
– обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
– недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
– обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
– осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше,
чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Клиники), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4. Правовые основания обработки персональных данных
Правовыми основаниями обработки персональных данных в Клинике являются:
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);
– Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем,
и финансированию терроризма» и иные подзаконные акты;
– Гражданский кодекс Российской Федерации;
– Трудовой кодекс Российской Федерации;
– Налоговый кодекс Российской Федерации;
– Договор, стороной которого либо выгодоприобретателем или поручителем является субъект персональных данных, а также договор, заключаемый по инициативе субъекта персональных данных или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
– Согласие субъекта персональных данных на обработку с учетом требований, предусмотренных законодательством Российской Федерации для соответствующей категории персональных данных.
Правовыми основаниями обработки персональных данных в Клинике являются:
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);
– Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем,
и финансированию терроризма» и иные подзаконные акты;
– Гражданский кодекс Российской Федерации;
– Трудовой кодекс Российской Федерации;
– Налоговый кодекс Российской Федерации;
– Договор, стороной которого либо выгодоприобретателем или поручителем является субъект персональных данных, а также договор, заключаемый по инициативе субъекта персональных данных или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
– Согласие субъекта персональных данных на обработку с учетом требований, предусмотренных законодательством Российской Федерации для соответствующей категории персональных данных.
5. Цели обработки персональных данных
Представленный в настоящем пункте перечень персональных данных сформирован с учетом требований Закона № 152-ФЗ для предоставления информации о персональных данных, обработка которых допускается в рамках определенных целей обработки персональных данных.
В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных. Конкретный перечень персональных данных определяется соответствующими договором, согласием на обработку персональных данных, требованиями законодательства Российской Федерации с учетом особенностей процесса и/или продукта, сервиса, услуги, предоставляемых Клиникой.
Для каждой из указанной ниже целей обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях. Обработка Клиникой персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований законодательства Российской Федерации и внутренних нормативных положений Клиники, регламентирующих вопросы обработки и защиты персональных данных.
При обработке персональных данных автоматизированным способом Клиника принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка персональных данных неавтоматизированным способом, в том числе хранение материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (материальных носителей) в порядке, предусмотренном законодательством Российской Федерации.
Клиника осуществляет обработку персональных данных субъектов персональных данных в следующих целях.
Представленный в настоящем пункте перечень персональных данных сформирован с учетом требований Закона № 152-ФЗ для предоставления информации о персональных данных, обработка которых допускается в рамках определенных целей обработки персональных данных.
В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных. Конкретный перечень персональных данных определяется соответствующими договором, согласием на обработку персональных данных, требованиями законодательства Российской Федерации с учетом особенностей процесса и/или продукта, сервиса, услуги, предоставляемых Клиникой.
Для каждой из указанной ниже целей обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях. Обработка Клиникой персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований законодательства Российской Федерации и внутренних нормативных положений Клиники, регламентирующих вопросы обработки и защиты персональных данных.
При обработке персональных данных автоматизированным способом Клиника принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка персональных данных неавтоматизированным способом, в том числе хранение материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (материальных носителей) в порядке, предусмотренном законодательством Российской Федерации.
Клиника осуществляет обработку персональных данных субъектов персональных данных в следующих целях.
5.1 Цель обработки персональных данных: «Предоставление продуктов, сервисов и услуг клиентам и/или потенциальным клиентам (физическим лицам), включая взаимодействие по вопросам предоставления и сопровождения продуктов, сервисов и услуг».
В рамках данной цели Клиника обрабатывает персональные данные следующих категорий субъектов персональных данных: клиенты Клиники (физические лица), потенциальные клиенты Клиники (физические лица) и их представители (физические лица). При этом персональные данные лиц, связанных с клиентами Клиники/потенциальными клиентами Клиники (физическими лицами), обрабатываются Клиникой исключительно в связи с необходимостью создания условий для предоставления/содействия в предоставлении продуктов и услуг клиентам/потенциальным клиентам (физическим лицам).
При наличии условий (правовых оснований) обработки персональных данных допускается обработка следующих категорий и перечня персональных данных:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; контактная информация (адрес электронной почты; номер телефона); данные документов, удостоверяющих личность (данные паспорта и иных документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); сведения о смене ранее выданного документа, удостоверяющего личность; возраст; дата рождения; место рождения; город проживания; адрес (в зависимости от процесса и/или продукта, сервиса, услуги, в том числе, адрес регистрации по месту жительства/пребывания; адрес фактического проживания; адрес доставки; рабочий адрес); гражданство; пол; сведения о работе, в том числе о месте работы, должности; идентификационный номер налогоплательщика; сведения о дееспособности, не связанные с состоянием здоровья; страховой номер индивидуального лицевого счета (СНИЛС); номер договора; данные миграционной карты (при наличии); номер счета; данные свидетельства/акта о смерти; сведения о действиях на сайте/сайтах в веб-приложениях/мобильных приложениях Клиники и связанная с действиями информация (в том числе о дате/времени, когда совершались действия, IP-адресе, типе используемого устройства, типе операционной системы устройства, используемого субъектом); сведения, полученные в рамках заключенных договоров, использования соответствующих продуктов/сервисов; сведения о выбранных/полученных товарах (продуктах)/услугах; сведения о расходах; сведения о доходах; сведения об образовании; сведения о наличии возбужденных дел о банкротстве; сведения об исполнительных листах/судебных приказах; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные данные»: не обрабатываются.
В рамках данной цели Клиника обрабатывает персональные данные следующих категорий субъектов персональных данных: клиенты Клиники (физические лица), потенциальные клиенты Клиники (физические лица) и их представители (физические лица). При этом персональные данные лиц, связанных с клиентами Клиники/потенциальными клиентами Клиники (физическими лицами), обрабатываются Клиникой исключительно в связи с необходимостью создания условий для предоставления/содействия в предоставлении продуктов и услуг клиентам/потенциальным клиентам (физическим лицам).
При наличии условий (правовых оснований) обработки персональных данных допускается обработка следующих категорий и перечня персональных данных:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; контактная информация (адрес электронной почты; номер телефона); данные документов, удостоверяющих личность (данные паспорта и иных документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); сведения о смене ранее выданного документа, удостоверяющего личность; возраст; дата рождения; место рождения; город проживания; адрес (в зависимости от процесса и/или продукта, сервиса, услуги, в том числе, адрес регистрации по месту жительства/пребывания; адрес фактического проживания; адрес доставки; рабочий адрес); гражданство; пол; сведения о работе, в том числе о месте работы, должности; идентификационный номер налогоплательщика; сведения о дееспособности, не связанные с состоянием здоровья; страховой номер индивидуального лицевого счета (СНИЛС); номер договора; данные миграционной карты (при наличии); номер счета; данные свидетельства/акта о смерти; сведения о действиях на сайте/сайтах в веб-приложениях/мобильных приложениях Клиники и связанная с действиями информация (в том числе о дате/времени, когда совершались действия, IP-адресе, типе используемого устройства, типе операционной системы устройства, используемого субъектом); сведения, полученные в рамках заключенных договоров, использования соответствующих продуктов/сервисов; сведения о выбранных/полученных товарах (продуктах)/услугах; сведения о расходах; сведения о доходах; сведения об образовании; сведения о наличии возбужденных дел о банкротстве; сведения об исполнительных листах/судебных приказах; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные данные»: не обрабатываются.
5.2. Цель обработки персональных данных: «Обеспечение и осуществление взаимодействия с третьими лицами по вопросам заключения договоров и в рамках исполнения обязательств по договорам, не связанным с предоставлением Клиникой продуктов, сервисов и услуг».
В рамках данной цели Клиника обрабатывает персональные данные следующих категорий субъектов персональных данных: третьи лица (индивидуальные предприниматели; лица, применяющиеся специальный налоговый режим; лица, занимающиеся частной практикой) и связанные с третьими лицами (юридическими лицами; индивидуальными предпринимателями; лицами, применяющими специальный налоговый режим; лицами, занимающимися частной практикой) и/или партнерами Клиники физические лица.
5.2.1 В отношении третьих лиц, а именно физических лиц (индивидуальных предпринимателей; лиц, применяющих специальный налоговый режим; лиц, занимающихся частной практикой), в рамках указанной цели, при наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; контактная информация (номер телефона; адрес электронной почты); данные документов, удостоверяющих личность (данные паспорта и иных документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); дата рождения; город проживания; сведения о работе, включая сведения о месте работе; идентификационный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); номер договора; номер счета; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные данные»: не обрабатываются.
5.2.2 Применительно к представителям третьих лиц, а именно применительно к представителю, действующему на основании доверенности или договора, представителю в соответствии с требованиями применимого законодательства Российской Федерации, работнику третьего лица, члену органа управления третьего лица:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; контактная информация (адрес электронной почты; номер телефона); данные документа, подтверждающего полномочия представителя; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); возраст; город проживания; место рождения; гражданство; дата рождения; сведения о работе; идентификационный номер налогоплательщика; сведения о смене фамилии и/или имени, и/или отчества; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
персональные данные, входящие в категорию «Биометрические персональные данные»: не обрабатываются.
В рамках данной цели Клиника обрабатывает персональные данные следующих категорий субъектов персональных данных: третьи лица (индивидуальные предприниматели; лица, применяющиеся специальный налоговый режим; лица, занимающиеся частной практикой) и связанные с третьими лицами (юридическими лицами; индивидуальными предпринимателями; лицами, применяющими специальный налоговый режим; лицами, занимающимися частной практикой) и/или партнерами Клиники физические лица.
5.2.1 В отношении третьих лиц, а именно физических лиц (индивидуальных предпринимателей; лиц, применяющих специальный налоговый режим; лиц, занимающихся частной практикой), в рамках указанной цели, при наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; контактная информация (номер телефона; адрес электронной почты); данные документов, удостоверяющих личность (данные паспорта и иных документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); дата рождения; город проживания; сведения о работе, включая сведения о месте работе; идентификационный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); номер договора; номер счета; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные данные»: не обрабатываются.
5.2.2 Применительно к представителям третьих лиц, а именно применительно к представителю, действующему на основании доверенности или договора, представителю в соответствии с требованиями применимого законодательства Российской Федерации, работнику третьего лица, члену органа управления третьего лица:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; контактная информация (адрес электронной почты; номер телефона); данные документа, подтверждающего полномочия представителя; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); возраст; город проживания; место рождения; гражданство; дата рождения; сведения о работе; идентификационный номер налогоплательщика; сведения о смене фамилии и/или имени, и/или отчества; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
персональные данные, входящие в категорию «Биометрические персональные данные»: не обрабатываются.
5.3. Цель обработки персональных данных: «Организация, обеспечение и регулирование трудовых и непосредственно связанных с ними отношений».
В рамках данной цели Клиника обрабатывает персональные данные следующих категорий субъектов персональных данных: работники, бывшие работники и связанные с работниками Клиники физические лица. При этом персональные данные физических лиц, связанных с работниками Клиники, обрабатываются исключительно в связи с необходимостью организации, обеспечения и регулирования трудовых и непосредственно связанных с ними отношений.
5.3.1 В отношении работников Клиники в рамках указанной в пункте 5.4 цели, при наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; адрес (адрес регистрации (по месту жительства/пребывания); адрес проживания (фактический адрес); контактные данные (номер телефона, адрес электронной почты); дата рождения/возраст; город проживания; гражданство/резидентство; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); сведения о смене, а также реквизиты ранее выданного документа, удостоверяющего личность; данные миграционной карты (при наличии); данные о налоговых вычетах; место рождения; данные свидетельства/акта о смерти; идентификационный номер налогоплательщика; место рождения; сведения об образовании (в том числе ученая степень/звание, образовательное учреждение, год обучения, специальность); подпись; пол; страховой номер индивидуального лицевого счета (СНИЛС); сведения о включении в список инсайдеров; сведения о семейном положении; сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения свидетельства о браке; сведения о социальных и иных льготах; в качестве военнообязанного; фотографическое изображение; сведения, содержащиеся в документах воинского учета; сведения о работе, в том числе сведения о трудовом стаже и трудовой деятельности (включая сведения о местах работы, табельный номер, данные о кадровых мероприятиях (включая дату приема на работу/увольнения, переводов на другую работу); сведения о заработной плате; сведения о награждениях и поощрениях; прочие персональные данные, необходимые для достижения цели обработки персональных данных, указанной в п. 5.3, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.
5.3.2 В отношении бывших работников Клиники:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; адрес (адрес регистрации по месту жительства/пребывания; адрес проживания (фактический адрес); контактные данные (номер телефона, адрес электронной почты); дата рождения; возраст; город проживания; гражданство/резидентство; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); фотографическое изображение; сведения о смене ранее выданного документа, удостоверяющего личность; данные миграционной карты (при наличии); идентификационный номер налогоплательщика; место рождения; сведения об образовании (в том числе образование, ученая степень/звание, образовательное учреждение, год обучения, специальность); подпись; пол; страховой номер индивидуального лицевого счета (СНИЛС); сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения о семейном положении; сведения свидетельства о браке; сведения о работе, в том числе сведения о трудовом стаже и трудовой деятельности; сведения о достижениях; сведения о награждениях и поощрениях; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.
5.3.3 В отношении физических лиц, связанных с работниками, в том числе родственников работников (за исключением несовершеннолетних лиц) в рамках указанной цели, при наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; адрес (адрес регистрации по месту жительства/пребывания; адрес проживания (фактический адрес); город проживания; гражданство/резидентство; дата рождения/возраст; пол; место работы; место рождения; контактные данные (номер телефона, адрес электронной почты); профессия; сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения о смене фамилии и/или имени, и/или отчества; сведения свидетельства о браке; сведения о семейном положении; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.
5.3.4 Применительно к несовершеннолетним (не достигшим 18 лет) родственникам работников:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; адрес (адрес регистрации по месту жительства/пребывания; адрес проживания (фактический адрес); дата рождения; возраст; пол; город проживания; гражданство; данные документов, подтверждающих полномочия Представителя; данные документов, удостоверяющих личность (документов, которые в соответствии с законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); сведения о смене ранее выданного документа, удостоверяющего личность; сведения о смене фамилии и/или имени, и/или отчества; фотографическое изображение; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.
В рамках данной цели Клиника обрабатывает персональные данные следующих категорий субъектов персональных данных: работники, бывшие работники и связанные с работниками Клиники физические лица. При этом персональные данные физических лиц, связанных с работниками Клиники, обрабатываются исключительно в связи с необходимостью организации, обеспечения и регулирования трудовых и непосредственно связанных с ними отношений.
5.3.1 В отношении работников Клиники в рамках указанной в пункте 5.4 цели, при наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; адрес (адрес регистрации (по месту жительства/пребывания); адрес проживания (фактический адрес); контактные данные (номер телефона, адрес электронной почты); дата рождения/возраст; город проживания; гражданство/резидентство; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); сведения о смене, а также реквизиты ранее выданного документа, удостоверяющего личность; данные миграционной карты (при наличии); данные о налоговых вычетах; место рождения; данные свидетельства/акта о смерти; идентификационный номер налогоплательщика; место рождения; сведения об образовании (в том числе ученая степень/звание, образовательное учреждение, год обучения, специальность); подпись; пол; страховой номер индивидуального лицевого счета (СНИЛС); сведения о включении в список инсайдеров; сведения о семейном положении; сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения свидетельства о браке; сведения о социальных и иных льготах; в качестве военнообязанного; фотографическое изображение; сведения, содержащиеся в документах воинского учета; сведения о работе, в том числе сведения о трудовом стаже и трудовой деятельности (включая сведения о местах работы, табельный номер, данные о кадровых мероприятиях (включая дату приема на работу/увольнения, переводов на другую работу); сведения о заработной плате; сведения о награждениях и поощрениях; прочие персональные данные, необходимые для достижения цели обработки персональных данных, указанной в п. 5.3, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.
5.3.2 В отношении бывших работников Клиники:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; адрес (адрес регистрации по месту жительства/пребывания; адрес проживания (фактический адрес); контактные данные (номер телефона, адрес электронной почты); дата рождения; возраст; город проживания; гражданство/резидентство; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); фотографическое изображение; сведения о смене ранее выданного документа, удостоверяющего личность; данные миграционной карты (при наличии); идентификационный номер налогоплательщика; место рождения; сведения об образовании (в том числе образование, ученая степень/звание, образовательное учреждение, год обучения, специальность); подпись; пол; страховой номер индивидуального лицевого счета (СНИЛС); сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения о семейном положении; сведения свидетельства о браке; сведения о работе, в том числе сведения о трудовом стаже и трудовой деятельности; сведения о достижениях; сведения о награждениях и поощрениях; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.
5.3.3 В отношении физических лиц, связанных с работниками, в том числе родственников работников (за исключением несовершеннолетних лиц) в рамках указанной цели, при наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; адрес (адрес регистрации по месту жительства/пребывания; адрес проживания (фактический адрес); город проживания; гражданство/резидентство; дата рождения/возраст; пол; место работы; место рождения; контактные данные (номер телефона, адрес электронной почты); профессия; сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения о смене фамилии и/или имени, и/или отчества; сведения свидетельства о браке; сведения о семейном положении; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
– персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.
5.3.4 Применительно к несовершеннолетним (не достигшим 18 лет) родственникам работников:
– персональные данные, входящие в категорию «Иные персональные данные»: фамилия; имя; отчество; адрес (адрес регистрации по месту жительства/пребывания; адрес проживания (фактический адрес); дата рождения; возраст; пол; город проживания; гражданство; данные документов, подтверждающих полномочия Представителя; данные документов, удостоверяющих личность (документов, которые в соответствии с законодательством Российской Федерации подпадают под категорию документов, удостоверяющих личность); сведения о смене ранее выданного документа, удостоверяющего личность; сведения о смене фамилии и/или имени, и/или отчества; фотографическое изображение; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
– персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются;
персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.
6. Права субъекта персональных данных
Субъект персональных данных имеет право:
– свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;
– отзывать свое согласие на обработку персональных данных
в случаях, установленных законодательством Российской Федерации;
– получать информацию, касающуюся обработки его персональных данных в порядке, форме и в сроки, установленные законодательством
о персональных данных, за исключением случаев, предусмотренных федеральными законами;
– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее;
– обжаловать действия или бездействие Клиники в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Клиника осуществляет обработку его персональных данных с нарушением требований Закона № 152-ФЗ или иным образом нарушает его права и свободы;
– иные права, предусмотренные законодательством о персональных данных.
Субъект персональных данных имеет право:
– свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;
– отзывать свое согласие на обработку персональных данных
в случаях, установленных законодательством Российской Федерации;
– получать информацию, касающуюся обработки его персональных данных в порядке, форме и в сроки, установленные законодательством
о персональных данных, за исключением случаев, предусмотренных федеральными законами;
– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее;
– обжаловать действия или бездействие Клиники в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Клиника осуществляет обработку его персональных данных с нарушением требований Закона № 152-ФЗ или иным образом нарушает его права и свободы;
– иные права, предусмотренные законодательством о персональных данных.
7. Права и обязанности Клиники при обработке персональных данных
7.1. Клиника обязана:
– не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
– при заключении договоров, стороной которых является субъект персональных данных, не допускать ограничений прав и свобод субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также допускать в качестве условия заключения договора бездействие субъекта персональных данных;
– предоставлять субъекту персональных данных или его представителю возможность ознакомления с обрабатываемыми персональными данными субъекта, за исключением случаев, предусмотренных федеральным законами;
– разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации способами и в порядке, предусмотренными законодательством Российской Федерации;
– если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных Законом № 152-ФЗ,
до начала обработки таких персональных данных Клиника обязана предоставить субъекту персональных данных следующую информацию:
Такая информация не предоставляется в случаях, если:
– субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
– персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
– обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
– оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом
не нарушаются права и законные интересы субъекта персональных данных;
– предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц;
– обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ;
– принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию
в течение десяти рабочих дней с даты получения такого запроса;
– осуществлять обработку запросов субъектов персональных данных в соответствии с Политикой;
– устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
7.2. Клиника имеет право:
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить их обработку без согласия субъекта персональных данных при наличии правовых оснований, установленных законодательством Российской Федерации;
– получить персональные данные от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия правовых оснований, установленных законодательством Российской Федерации.
7.1. Клиника обязана:
– не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
– при заключении договоров, стороной которых является субъект персональных данных, не допускать ограничений прав и свобод субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также допускать в качестве условия заключения договора бездействие субъекта персональных данных;
– предоставлять субъекту персональных данных или его представителю возможность ознакомления с обрабатываемыми персональными данными субъекта, за исключением случаев, предусмотренных федеральным законами;
– разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации способами и в порядке, предусмотренными законодательством Российской Федерации;
– если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных Законом № 152-ФЗ,
до начала обработки таких персональных данных Клиника обязана предоставить субъекту персональных данных следующую информацию:
- наименование и адрес местонахождения Клиники;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- права субъекта персональных данных;
- источник получения персональных данных.
Такая информация не предоставляется в случаях, если:
– субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
– персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
– обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
– оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом
не нарушаются права и законные интересы субъекта персональных данных;
– предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц;
– обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ;
– принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию
в течение десяти рабочих дней с даты получения такого запроса;
– осуществлять обработку запросов субъектов персональных данных в соответствии с Политикой;
– устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
7.2. Клиника имеет право:
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить их обработку без согласия субъекта персональных данных при наличии правовых оснований, установленных законодательством Российской Федерации;
– получить персональные данные от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия правовых оснований, установленных законодательством Российской Федерации.
8. Порядок и условия обработки персональных данных
8.1. Действие Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых
с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
8.2. Клиника не осуществляет трансграничную передачу персональных данных.
8.3. Клиника не осуществляет обработку следующих категорий персональных данных:
– Расовая и национальная принадлежность
– Политические взгляды
– Философские убеждения
– Состояние здоровья
– Состояние интимной жизни
– Религиозные убеждения.
8.4. Клиника не распространяет и не размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.
8.1. Действие Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых
с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
8.2. Клиника не осуществляет трансграничную передачу персональных данных.
8.3. Клиника не осуществляет обработку следующих категорий персональных данных:
– Расовая и национальная принадлежность
– Политические взгляды
– Философские убеждения
– Состояние здоровья
– Состояние интимной жизни
– Религиозные убеждения.
8.4. Клиника не распространяет и не размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.
9. Хранения персональных данных
Персональные данные субъектов персональных данных хранятся как на машинных (электронных), так и на бумажных носителях персональных данных. Бумажные носители персональных данных хранятся только в местах, определенных в перечне мест хранения бумажных носителей персональных данных Клиники.
Документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в специально оборудованном помещении, соответствующем требованиям архивного хранения документов, электронные носители хранятся в специально выделенных помещениях, доступ к которым ограничен и предоставляется работникам в соответствии с исполняемыми должностными обязанностями.
Сроки обработки персональных данных регламентированы в соответствии с:
– целями обработки персональных данных;
– приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
– договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Прекращение обработки персональных данных осуществляется по истечении установленных сроков обработки персональных данных, при отзыве согласия субъекта персональных данных на обработку его персональных данных (за исключением случаев, когда Клиника вправе продолжить обработку персональных данных на ином правовом основании), при достижении цели обработки персональных данных или утрате необходимости в достижении цели, а также при выявлении неправомерной обработки персональных данных.
Персональные данные субъектов персональных данных хранятся как на машинных (электронных), так и на бумажных носителях персональных данных. Бумажные носители персональных данных хранятся только в местах, определенных в перечне мест хранения бумажных носителей персональных данных Клиники.
Документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в специально оборудованном помещении, соответствующем требованиям архивного хранения документов, электронные носители хранятся в специально выделенных помещениях, доступ к которым ограничен и предоставляется работникам в соответствии с исполняемыми должностными обязанностями.
Сроки обработки персональных данных регламентированы в соответствии с:
– целями обработки персональных данных;
– приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
– договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Прекращение обработки персональных данных осуществляется по истечении установленных сроков обработки персональных данных, при отзыве согласия субъекта персональных данных на обработку его персональных данных (за исключением случаев, когда Клиника вправе продолжить обработку персональных данных на ином правовом основании), при достижении цели обработки персональных данных или утрате необходимости в достижении цели, а также при выявлении неправомерной обработки персональных данных.
10. Условия передачи персональных данных
Клиника вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого договора. Лицо, осуществляющее обработку персональных данных по поручению Клиники, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ и Политикой.
В соответствии с требованиями Закона № 152-ФЗ в договорах с лицами, осуществляющими обработку персональных данных по поручению Клиники, должен быть определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, указаны цели обработки, установлены обязанности такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, указаны требования к защите обрабатываемых персональных в соответствии с Законом 152-ФЗ.
Персональные данные субъектов персональных данных могут передаваться третьим лицам с соблюдением требований законодательства Российской Федерации.
Клиника вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого договора. Лицо, осуществляющее обработку персональных данных по поручению Клиники, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ и Политикой.
В соответствии с требованиями Закона № 152-ФЗ в договорах с лицами, осуществляющими обработку персональных данных по поручению Клиники, должен быть определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, указаны цели обработки, установлены обязанности такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, указаны требования к защите обрабатываемых персональных в соответствии с Законом 152-ФЗ.
Персональные данные субъектов персональных данных могут передаваться третьим лицам с соблюдением требований законодательства Российской Федерации.
11. Обеспечение конфиденциальности и безопасности персональных данных при их обработке
Безопасность персональных данных, обрабатываемых Клиникой, обеспечивается принятием правовых, организационных и технических мер, определенных действующим законодательством Российской Федерации, а также внутренними нормативными документами Клиники в области защиты информации.
Обеспечение Клиникой защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в частности, следующими принятыми мерами:
– назначение лица, ответственного за организацию обработки персональных данных;
– назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
– определение перечня работников, имеющих доступ к персональным данным;
– разработка и утверждение организационно-распорядительных документов, определяющих порядок обработки персональных данных;
– определение перечня мест хранения материальных носителей персональных данных;
– организация порядка уничтожения персональных данных по истечении срока их обработки;
– учет машинных носителей персональных данных;
– определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
– проведение внутренних проверок соблюдения требований по обеспечению безопасности персональных данных;
– ознакомление работников Клиники, осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации, организационно-распорядительными документами Клиники, определяющими порядок обработки и обеспечения безопасности персональных данных;
– проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Закона 152-ФЗ;
– физическая защита помещений, в которых осуществляется обработка персональных данных (пропускной режим, система контроля и управления доступом в помещения);
– обеспечение антивирусной защиты информационных систем персональных данных;
– обеспечение отказоустойчивости и резервного копирования;
– определение правил доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
– проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
Обеспечение конфиденциальности персональных данных, обрабатываемых Клиникой, является обязательным требованием для всех работников Клиники, допущенных к обработке персональных данных в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связана с получением, обработкой и защитой персональных данных, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности персональных данных.
Безопасность персональных данных, обрабатываемых Клиникой, обеспечивается принятием правовых, организационных и технических мер, определенных действующим законодательством Российской Федерации, а также внутренними нормативными документами Клиники в области защиты информации.
Обеспечение Клиникой защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в частности, следующими принятыми мерами:
– назначение лица, ответственного за организацию обработки персональных данных;
– назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
– определение перечня работников, имеющих доступ к персональным данным;
– разработка и утверждение организационно-распорядительных документов, определяющих порядок обработки персональных данных;
– определение перечня мест хранения материальных носителей персональных данных;
– организация порядка уничтожения персональных данных по истечении срока их обработки;
– учет машинных носителей персональных данных;
– определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
– проведение внутренних проверок соблюдения требований по обеспечению безопасности персональных данных;
– ознакомление работников Клиники, осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации, организационно-распорядительными документами Клиники, определяющими порядок обработки и обеспечения безопасности персональных данных;
– проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Закона 152-ФЗ;
– физическая защита помещений, в которых осуществляется обработка персональных данных (пропускной режим, система контроля и управления доступом в помещения);
– обеспечение антивирусной защиты информационных систем персональных данных;
– обеспечение отказоустойчивости и резервного копирования;
– определение правил доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
– проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
Обеспечение конфиденциальности персональных данных, обрабатываемых Клиникой, является обязательным требованием для всех работников Клиники, допущенных к обработке персональных данных в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связана с получением, обработкой и защитой персональных данных, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности персональных данных.
12. Порядок обработки запросов субъектов персональных данных
Субъект персональных данных может обращаться в Клинику по вопросам обработки своих персональных данных в следующих случаях:
– для получения информации, касающейся обработки его (субъекта) персональных данных:
– для уточнения своих персональных данных, их блокирования или уничтожения, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;
– для подачи жалобы на неправомерную обработку Клиникой его (субъекта) персональных данных;
– для отзыва своего согласия на обработку персональных данных.
Согласно требованиям Закона № 152-ФЗ запрос должен содержать, в частности:
– серию, номер документа, удостоверяющего личность субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
– сведения, подтверждающие участие субъекта персональных данных в отношениях с Клиникой (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Клиникой;
– подпись субъекта персональных данных (его представителя);
– в случае, если запрос направлен представителем субъекта персональных данных, он должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
В случае отзыва субъектом персональных данных данного им согласия в случаях, установленных законодательством Российской Федерации,
на обработку персональных данных соответствующий запрос должен соответствовать условиям, указанным в таком согласии. Запросы и обращения субъектов персональных данных или их представителей принимаются по адресам: м. «Профсоюзная», Профсоюзная улица, 7/12; м. «ЦСКА», Ходынский бульвар, 20 А, Б-54 4 э. Также запрос, подписанный усиленной квалифицированной электронной подписью, может быть направлен на адрес электронной почты: GALINAGERBER77@BK.RU.
Ответ на запрос (обращение) направляется субъекту персональных данных или его представителю в той форме, в которой направлен запрос (обращение), если не указано иное, в срок, не превышающий 10 (десяти) дней со дня обращения, при этом данный срок может быть продлен еще на 5 рабочих дней посредством направления в адрес заявителя мотивированного уведомления с указанием причин продления срока представления запрашиваемой информации. При отказе в предоставлении информации или осуществления действия, отраженного в запросе, субъекту направляется мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десять) дней со дня обращения субъекта персональных данных или его представителя.
В случае выявления неправомерной обработки персональных данных или неточных персональных данных Клиника обеспечивает блокирование персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Клиники), на период проведения проверки. В случае подтверждения факта неточности персональных данных Клиника обеспечивает уточнение персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Клиники), в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Клиника в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обеспечивает прекращение неправомерной обработки персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Клиники). В случае, если обеспечить правомерность обработки персональных данных невозможно, Клиника в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Клиника обязана уведомить субъекта персональных данных или его представителя, либо уполномоченный орган по защите прав субъектов персональных данных (если запрос был направлен указанным органом).
Субъект персональных данных может обращаться в Клинику по вопросам обработки своих персональных данных в следующих случаях:
– для получения информации, касающейся обработки его (субъекта) персональных данных:
– для уточнения своих персональных данных, их блокирования или уничтожения, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;
– для подачи жалобы на неправомерную обработку Клиникой его (субъекта) персональных данных;
– для отзыва своего согласия на обработку персональных данных.
Согласно требованиям Закона № 152-ФЗ запрос должен содержать, в частности:
– серию, номер документа, удостоверяющего личность субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
– сведения, подтверждающие участие субъекта персональных данных в отношениях с Клиникой (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Клиникой;
– подпись субъекта персональных данных (его представителя);
– в случае, если запрос направлен представителем субъекта персональных данных, он должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
В случае отзыва субъектом персональных данных данного им согласия в случаях, установленных законодательством Российской Федерации,
на обработку персональных данных соответствующий запрос должен соответствовать условиям, указанным в таком согласии. Запросы и обращения субъектов персональных данных или их представителей принимаются по адресам: м. «Профсоюзная», Профсоюзная улица, 7/12; м. «ЦСКА», Ходынский бульвар, 20 А, Б-54 4 э. Также запрос, подписанный усиленной квалифицированной электронной подписью, может быть направлен на адрес электронной почты: GALINAGERBER77@BK.RU.
Ответ на запрос (обращение) направляется субъекту персональных данных или его представителю в той форме, в которой направлен запрос (обращение), если не указано иное, в срок, не превышающий 10 (десяти) дней со дня обращения, при этом данный срок может быть продлен еще на 5 рабочих дней посредством направления в адрес заявителя мотивированного уведомления с указанием причин продления срока представления запрашиваемой информации. При отказе в предоставлении информации или осуществления действия, отраженного в запросе, субъекту направляется мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десять) дней со дня обращения субъекта персональных данных или его представителя.
В случае выявления неправомерной обработки персональных данных или неточных персональных данных Клиника обеспечивает блокирование персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Клиники), на период проведения проверки. В случае подтверждения факта неточности персональных данных Клиника обеспечивает уточнение персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Клиники), в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Клиника в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обеспечивает прекращение неправомерной обработки персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Клиники). В случае, если обеспечить правомерность обработки персональных данных невозможно, Клиника в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Клиника обязана уведомить субъекта персональных данных или его представителя, либо уполномоченный орган по защите прав субъектов персональных данных (если запрос был направлен указанным органом).
13. Уничтожение персональных данных
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Клиника обеспечивает уничтожение персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению Клиники), в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва (за исключением случаев мотивированного отказа в отзыве согласия, установленных законодательством Российской Федерации).
По истечению сроков хранения персональных данных, установленных законодательством Российской Федерации, Клиника обеспечивает уничтожение персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению Клиники), в срок, не превышающий 30 (тридцати) дней.
В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Клиника обеспечивает блокирование таких персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению Клиники), и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Клиника обеспечивает уничтожение персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению Клиники), в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва (за исключением случаев мотивированного отказа в отзыве согласия, установленных законодательством Российской Федерации).
По истечению сроков хранения персональных данных, установленных законодательством Российской Федерации, Клиника обеспечивает уничтожение персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению Клиники), в срок, не превышающий 30 (тридцати) дней.
В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Клиника обеспечивает блокирование таких персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению Клиники), и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
14. Заключительные положения
В случае неисполнения положений Политики Клиника несет ответственность в соответствии с законодательством Российской Федерации.
Ответственность должностных лиц Клиники, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными и организационно-распорядительными документами Клиники.
Политика публикуется с открытым доступом в информационно-телекоммуникационной сети «Интернет» на официальном сайте Клиники, размещенном по адресу: https://www.lpb-laser.ru.
В случае неисполнения положений Политики Клиника несет ответственность в соответствии с законодательством Российской Федерации.
Ответственность должностных лиц Клиники, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными и организационно-распорядительными документами Клиники.
Политика публикуется с открытым доступом в информационно-телекоммуникационной сети «Интернет» на официальном сайте Клиники, размещенном по адресу: https://www.lpb-laser.ru.