+7(8352) 41-94-50
Сот.: +7 (906) 382-20-55
г. Чебоксары, пр. М.Горького, 51
Пн-Пт: 08:00-20:00, Сб: 09:00-16:00

Политика в отношении обработки персональных данных

ПОЛИТИКА ООО «Стома»

1. Общие положения

Настоящая Политика (далее – Политика) определяет основные принципы, цели и порядок обработки персональных данных, а также реализуемые меры по их защите в ООО «Стома» (далее – Оператор). Документ является общедоступным и предоставляется для ознакомления любым заинтересованным лицам.

2. Основные термины и определения

В рамках настоящей Политики используются следующие основные понятия:

Автоматизированная обработка персональных данных – обработка с применением средств вычислительной техники.

Безопасность персональных данных – состояние защищенности данных, характеризующееся способностью пользователей, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации.

Блокирование персональных данных – временное прекращение обработки (за исключением случаев, когда обработка требуется для уточнения сведений).

Информационная система персональных данных – совокупность баз данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Оператор – ООО «Стома», самостоятельно организующее и осуществляющее обработку персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному физическому лицу.

3. Правовые основания обработки персональных данных

Политика разработана в соответствии со следующими нормативно-правовыми документами Российской Федерации:

- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Кодекс об Административных Правонарушениях Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Уголовный кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);

- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;

- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;

- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119.

Оператор осуществляет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:

  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
    Налоговый кодекс Российской Федерации;
  • Федеральный закон от 28.03.1998 г. N 53-ФЗ "О воинской обязанности и военной службе";
  • Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
  • Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
  • Федеральный закон от 30.03.1999 N 52-ФЗ "О санитарно-эпидемиологическом благополучии населения";
  • Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";
  • Федеральный закон от 10.12.1995 N 196-ФЗ "О безопасности дорожного движения";
  • Постановление Правительства РФ от 4 октября 2012 г. № 1006 "Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг";
  • лицензия на осуществление медицинской деятельности;
  • договор на оказание платных медицинских услуг;
  • cогласие субъекта ПДн на обработку его ПДн;
  • устав ООО "СТОМА";
  • поручение на обработку ПДн.

4. Цели обработки персональных данных

Обработка персональных данных осуществляется Оператором для достижения следующих целей:

  • соблюдение требований трудового законодательства;
  • осуществление подбора кандидатов на вакантные должности;
  • исполнение обязательств в рамках заключенных договоров;
  • предоставление качественных медицинских услуг.

5. Состав обрабатываемых данных и категории субъектов

Оператор обрабатывает персональные данные в объеме, необходимом для достижения заявленных целей. Обработке подлежат данные следующих категорий субъектов:

  • сотрудники Оператора;
  • близкие родственники сотрудников;
  • лица, ранее состоявшие в трудовых отношениях с Оператором;
  • кандидаты на трудоустройство;
  • контрагенты по гражданско-правовым договорам;
  • пациенты, обратившиеся за медицинской помощью.

6. Порядок и условия обработки персональных данных

Источниками получения персональных сведений являются непосредственно сами субъекты данных, их уполномоченные представители, а также третьи стороны при наличии соответствующего распоряжения на обработку персональной информации.
 
Обработка персональных сведений производится в строгом соответствии с действующим законодательством Российской Федерации при наличии разрешения субъекта, за исключением ситуаций, оговоренных в Федеральном законе № 152-ФЗ. Форма согласия может быть объединена со стандартными документами, содержащими персональные данные (анкеты, формуляры, договоры).
Под обработкой персональных данных подразумевается совокупность операций: сбор, регистрация, систематизация, накопление, хранение, уточнение (актуализация, корректировка), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокировка, удаление, уничтожение персональных сведений.
Решение о предоставлении персональных данных и согласие на их обработку принимается субъектом добровольно и осознанно в своих интересах.
Получение персональной информации от третьих лиц допускается исключительно при предварительном информировании субъекта и наличии его письменного разрешения. Форма согласия может быть интегрирована в типовые документы, содержащие персональные данные.
Оператор использует комбинированные методы обработки: автоматизированные и неавтоматизированные, с передачей информации по внутренней корпоративной сети и через интернет.
Обработка персональных сведений осуществляется в структурных подразделениях в соответствии с их функциональными обязанностями и компетенцией.

Контроль доступа к данным

  • Доступ к данным, обрабатываемым без применения автоматизированных средств, регулируется утвержденным перечнем лиц
  • Доступ к информации в информационных системах персональных данных (ИСПДн) осуществляется согласно установленному регламенту
  • Уполномоченные сотрудники имеют доступ исключительно к тем данным, которые необходимы для выполнения конкретных должностных обязанностей
Обработка данных без использования автоматизированных средств проводится в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
При неавтоматизированной обработке персональные сведения отделяются от иной информации путем их фиксации на отдельных материальных носителях, в специальных разделах или на полях бланков и форм.

Условия хранения данных

Хранение персональных данных осуществляется в формате, позволяющем идентифицировать субъекта, в течение срока, необходимого для достижения заявленных целей обработки.
Персональные данные подлежат уничтожению или обезличиванию при:
  • Достижении целей обработки или утрате практической необходимости в их достижении
  • Отзыве субъектом согласия на обработку персональных данных
  • Предоставлении субъектом или его законным представителем доказательств незаконного получения данных или их несоответствия целям обработки
  • Выявлении неправомерной обработки и отсутствии возможности ее легализации
Материальные носители персональных данных хранятся в специально оборудованных шкафах и сейфах. Конкретные места хранения определяются внутренним распорядительным документом Оператора.

Сроки обработки запросов и внесения изменений

  • Корректировка неполных, неточных или устаревших данных - в течение 7 рабочих дней
  • Уничтожение после достижения целей обработки - в течение 30 рабочих дней
  • Уничтожение при отзыве согласия - в течение 10 рабочих дней
  • Уничтожение при подтверждении незаконности получения данных - в течение 10 рабочих дней
При обнаружении неправомерной обработки персональных данных Оператор прекращает указанные действия в течение 3 рабочих дней. В случае невозможности обеспечить правомерность обработки, данные подлежат уничтожению в 10-дневный срок с обязательным уведомлением субъекта и уполномоченного органа.

Процедура уничтожения данных

Уничтожение персональных данных осуществляется специальной комиссией, формируемой из сотрудников Оператора.
Допустимые методы уничтожения материальных носителей:
  • Термическое уничтожение (сжигание)
  • Механическое измельчение (шредирование)
  • Передача на специализированные полигоны для утилизации
  • Химическая деструкция
Процесс уничтожения оформляется соответствующим актом, подписываемым председателем комиссии. При необходимости привлечения специализированных организаций члены комиссии обязаны присутствовать при уничтожении носителей.

Уничтожение электронных данных

Уничтожение данных в электронных базах осуществляется комиссией с участием ответственного за обработку путем полного стирания информации с носителей. Процедура сопровождается составлением соответствующего акта.
При технической невозможности полного уничтожения электронных данных допускается их обезличивание методом перезаписи, исключающим возможность последующей идентификации субъекта.
Решения, имеющие юридические последствия для субъекта и принимаемые на основе исключительно автоматизированной обработки данных, возможны только при наличии письменного согласия субъекта.

Меры обеспечения безопасности

  • Оценка потенциального ущерба и соотнесение с применяемыми мерами защиты
  • Регулярный внутренний контроль и аудит соответствия обработки законодательным требованиям
  • Систематическое обучение сотрудников и ознакомление с внутренними регламентами
  • Разработка и актуализация политики и локальных нормативных актов
  • Строгий учет машинных носителей персональных данных
  • Назначение ответственного сотрудника за организацию обработки
  • Идентификация потенциальных угроз и оценка эффективности защитных механизмов
  • Установление четких правил доступа и ведение журнала действий с данными
  • Оперативное выявление и пресечение несанкционированного доступа
  • Постоянный мониторинг защитных мер и восстановление данных при необходимости
Оператор сохраняет за собой право проводить проверку достоверности и полноты предоставленных персональных данных при наличии согласия субъекта. В случае выявления недостоверных или неполных сведений Оператор вправе прекратить взаимодействие с субъектом.
Все базы персональных данных Оператора физически расположены на территории Российской Федерации.

Контактная информация

ООО "Стома"

428035 г. Чебоксары, проспект Максима Горького, д.51

Телефон: (8352) 43-41-45, +7(8352) 41-94-50, Сот.: +7 (906) 382-20-55

7. Права субъектов персональных данных

Субъекты персональных данных имеют право на:

  • доступ к своим персональным данным;
  • уточнение, блокирование или уничтожение данных в случае их неполноты или неправомерности обработки;
  • отзыв согласия на обработку персональных данных;
  • защиту своих прав и законных интересов.

Запросы субъектов рассматриваются Оператором в сроки, установленные законодательством Российской Федерации.

8. Заключительные положения

Настоящая Политика является общедоступной и подлежит размещена на официальном сайте Оператора. Контроль исполнения требований Политики осуществляется ответственным за организацию обработки персональных данных.

Политика вступает в силу с момента ее утверждения и действует бессрочно до замены новым документом.