babor_surgut@mail.ru
img
ЭФФЕКТИВНЫЕ ПРОДУКТЫ И УХОДЫ
МАКСИМАЛЬНЫЕ РЕЗУЛЬТАТЫ И РЕШЕНИЯ,
ПРЕВОСХОДЯЩИЕ ОЖИДАНИЯ

Политика конфиденциальности


 1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика общества с ограниченной ответственностью «БАБОР БЬЮТИ СПА» и ИП Костюкова Оксана Анваровна в отношении обработки персональных данных (далее - Политика) разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 29.06.2021 N 1046 "О Федеральном государственном контроле (надзоре) за обработкой персональных данных", Рекомендациями Роскомнадзора (Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций) от 31 июля 2017 г. "Рекомендации по составлению документа, определяющего политику Оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»", Уставом ООО «БАБОР БЬЮТИ СПА» и ИП Костюкова Оксана Анваровна.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает «БАБОР БЬЮТИ СПА» и ИП Костюкова Оксана Анваровна (далее - Оператор).

1.3. Политика вступает в силу с момента подписания Руководителем Оператора приказа об утверждении Политики. Положения Политики действуют бессрочно, до их отмены. Все изменения в Политику вносятся приказом Руководителя Оператора.

1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.5. Во исполнение требований ч. 2 ст. 18.1 ФЗ о персональных данных, Политика подлежит опубликованию в свободном доступе на официальном сайте Оператора в информационно- телекоммуникационной сети «Интернет» (далее – сеть «Интернет») по адресу:

https://baborsurgut.ru/, в том числе на страницах принадлежащего Оператору сайта, с использованием которых осуществляется сбор персональных данных.

1.6. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

В настоящей Политике под «Оператором» понимается Общество с ограниченной ответственностью «БАБОР БЬЮТИ СПА» (ООО «БАБОР БЬЮТИ СПА») (ИНН 8602292281, КПП 860201001, ОГРН 11986117006345, Юридический адрес: 628417 Россия, ХМАО-Югра, г.Сургут, Югорский тракт, 4, квартира/офис эт.1) и ИП Костюкова Оксана Анваровна (ИНН 860223696504 ОГРНИП 318861700019407, Юридический адрес: 628417 Россия, ХМАО-Югра, г.Сургут, ул. Киртбая, 24-134)

обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

· сбор;

· запись;

· систематизацию;

· накопление;

· хранение;

· уточнение (обновление, изменение);

· извлечение;

· использование;

· передачу (распространение, предоставление, доступ);

· обезличивание;

· блокирование;

· удаление;

· уничтожение.

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи в ООО «БАБОР БЬЮТИ СПА» и ИП Костюкова Оксана Анваровна независимо от наличия у него заболевания и от его состояния;

Работник - физическое лицо, вступившее в трудовые отношения с Оператором;

Соискатель – физическое лицо, претендующее на занятие вакантной должности в штате Оператора.

1.7. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.8. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «БАБОР БЬЮТИ СПА» и ИП Костюкова Оксана Анваровна в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основные права и обязанности Оператора.

2.1.1. Оператор имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

2.1.2. Оператор обязан:

1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

2) разъяснить     субъекту персональных   данных юридические последствия   отказа предоставить его персональные данные и (или) дать согласие на их обработку;

3) обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его   о   компьютерных   инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

4) сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса;

5) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных в течение 10 рабочих дней с момента получения запроса, указанный срок может быть продлен, но не более чем на 5 рабочих дней;

6) уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента;

7) в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщить о лицах, действия которых стали причиной утечки ПД;

8) предоставлять субъекту ПД перечень персональных данных, которые будут обрабатываться, если эти ПД получены не от субъекта ПД;

9) в случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ-152;

10) Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

11)  Принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.

2.2. Основные права субъекта персональных данных.

2.2.1. Субъект персональных данных имеет право:

1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

2) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.;

3) если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

4) в любой момент отозвать свое согласие на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 152-ФЗ.

5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.6. Обработка Оператором персональных данных осуществляется в следующих целях:

· в медико-профилактических целях, установления медицинского диагноза, в целях оказания медицинских услуг по договору на оказание платных медицинских услуг;

· ведение кадрового делопроизводства;

· оформление сотрудников на работу к Оператору;

· организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;

· заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

· ведение бухгалтерского учета;

· организация дополнительных социальных гарантий и компенсационных выплат, налоговых вычетов;

· проведения Оператором рекламных и маркетинговых мероприятий в отношении Пациентов (их законных представителей).

3.7. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

· Конституция Российской Федерации;

· Гражданский кодекс Российской Федерации;

· Трудовой кодекс Российской Федерации;

· Налоговый кодекс Российской Федерации;

· Федеральный закон от 08.02.1998 № 14-ФЗ "Об обществах с ограниченной ответственностью";

· Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011;

· Федеральный закон от 06.12.2011 № 402-ФЗ "О бухгалтерском учете";

· Федеральный закон от 15.12.2001 № 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

· Постановление Правительства Российской Федерации № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008;

· Постановление Правительства РФ от 4 октября 2012 года № 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;

· Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012;

· Приказ Минздрава России от 15.12.2014 N 834н (ред. от 02.11.2020) "Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению";

· иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

4.2. Правовым основанием обработки персональных данных также являются:

· устав ООО «БАБОР БЬЮТИ СПА» и ИП Костюкова Оксана Анваровна;

· договоры, заключаемые между Оператором и субъектами персональных данных;

· согласие субъектов персональных данных на обработку их персональных данных.

 5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5.2. Для каждой цели обработки персональных данных установлены:

- категории и перечень обрабатываемых ПД,

- категории субъектов ПД, данные которых обрабатываются;

- способы и сроки обработки и хранения ПД;

- порядок уничтожения ПД при достижении цели обработки.

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1) медико-профилактические цели, цели установлении медицинского диагноза, оказание медицинских услуг по договору на оказание платных медицинских услуг:

1.1.категории и перечень обрабатываемых ПД:

общие персональные данные (фамилия, имя, отчество, пол, дата рождения, адрес места жительства, контактные телефоны; адрес электронной почты, реквизиты паспорта (документа удостоверения личности); страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);

специальные персональные данные (данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью)

1.2.категории субъектов ПД, данные которых обрабатываются – Пациенты

1.3.способы и сроки обработки и хранения ПД:

способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. Срок хранения амбулаторной карты пациента составляет 25 лет.

Причем ПД пациента могут обрабатываться вне зависимости от направленного пациентом отзыва в течение срока хранения медицинской документации.

1.4.порядок уничтожения ПД при достижении цели обработки:

после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:

- формируется комиссии по ликвидации данных.

- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)

- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.

- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.

По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).

Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.

2) ведение кадрового делопроизводства

2.1.категории и перечень обрабатываемых ПД:

общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; гражданство; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы;

специальные категории персональных данных (сведения о состоянии здоровья)

2.2.категории субъектов ПД, данные которых обрабатываются – Работники и бывшие работники Оператора

2.3.способы и сроки обработки и хранения ПД:

способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" трудовые договоры, служебные контракты, соглашения об их изменении, расторжении хранятся 50/75 лет ЭПК.

2.4.порядок уничтожения ПД:

после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:

- формируется комиссии по ликвидации данных.

- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)

- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.

- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.

По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).

Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронных баз данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.

3)  оформление сотрудников на работу к Оператору;

3.1.категории и перечень обрабатываемых ПД:

общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; гражданство; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы;

специальные категории персональных данных (сведения о состоянии здоровья)

3.2.категории субъектов ПД, данные которых обрабатываются – Соискатели работы у Оператора

3.3.способы и сроки обработки и хранения ПД:

способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" трудовые договоры, служебные контракты, соглашения об их изменении, расторжении хранятся 50/75 лет ЭПК.

3.4.порядок уничтожения ПД:

после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:

- формируется комиссии по ликвидации данных.

- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)

- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.

- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.

По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).

Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.

4) организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования

 4.1.категории и перечень обрабатываемых ПД:

общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; паспортные данные; гражданство; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика, индивидуальный номер налогоплательщика.

4.2.категории субъектов ПД, данные которых обрабатываются – Работники Оператора

4.3.способы и сроки обработки и хранения ПД:

способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения".

4.4.порядок уничтожения ПД:

после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:

- формируется комиссии по ликвидации данных.

- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)

- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.

- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.

По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).

Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.

5) заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности

5.1.категории и перечень обрабатываемых ПД:

общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС).

другие персональные данные (данные о страховом стаже, об общем трудовом стаже, данные о доходах)

5.2.категории субъектов ПД, данные которых обрабатываются – Работники и бывшие работники Оператора

5.3.способы и сроки обработки и хранения ПД:

способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения".

5.4.порядок уничтожения ПД:

после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

 Для уничтожения персональных данных:

- формируется комиссии по ликвидации данных.

- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)

- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.

- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.

По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).

Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе

6) ведение бухгалтерского учета.

 6.1.категории и перечень обрабатываемых ПД:

общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов.

6.2.категории субъектов ПД, данные которых обрабатываются – Работники и бывшие работники Оператора

6.3.способы и сроки обработки и хранения ПД:

способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения".

6.4.порядок уничтожения ПД:

после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:

- формируется комиссии по ликвидации данных.

- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)

- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.

- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.

По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).

Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.

7) организация дополнительных социальных гарантий и компенсационных выплат, налоговых вычетов.

7.1.категории и перечень обрабатываемых ПД:

общие персональные данные (фамилия, имя, отчество; степень родства; год рождения; сведения об обучении ребенка, иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

7.2. категории субъектов ПД, данные которых обрабатываются – Члены семьи работников Оператора

7.3. способы и сроки обработки и хранения ПД:

способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

сроки: хранение персональных данных членов семьи работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

7.4. порядок уничтожения ПД:

после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:

- формируется комиссии по ликвидации данных.

- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)

- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.

- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.

По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).

Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.

8)  проведения Оператором рекламных и маркетинговых мероприятий в отношении Пациентов (их законных представителей)

8.1.категории и перечень обрабатываемых ПД:

общие персональные данные (фамилия, имя, отчество, контактные телефоны; адрес электронной почты

8.2.категории субъектов ПД, данные которых обрабатываются – Пациенты

8.3.способы и сроки обработки и хранения ПД:

способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов.

8.4.порядок уничтожения ПД при достижении цели обработки:

после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:

- формируется комиссии по ликвидации данных.

- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)

- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.

- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.

По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).

Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

6.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

6.3. Оператор не выполняет обработку специальных категорий Персональных данных, касающихся национальной принадлежности, политических взглядов, религиозных или философских убеждений.

6.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу Персональных данных.

6.5. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.6. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

6.7. Все Персональные данные Оператор получает от самого субъекта Персональных данных. Если Персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено письменное согласие на их обработку. Оператор должен сообщить субъекту Персональных данных о целях, предполагаемых источниках и способах получения Персональных данных, характере подлежащих получению Персональных данных, а также о последствиях отказа субъекта дать письменное согласие на их получение.

6.8. Предоставление Оператором Персональных данных третьим лицам (передача Персональных данных) осуществляется исключительно для достижения целей, заявленных для обработки Персональных данных в разделе 3 настоящей Политики. Передача Персональных данных третьим лицам осуществляется с письменного согласия субъекта Персональных данных, которое оформляется по установленной законодательством форме, либо в иных случаях, установленных федеральными законами.

6.9. В целях соблюдения законодательства Российской Федерации для достижения целей обработки Персональных данных Оператор в ходе своей деятельности предоставляет следующим третьим лицам:

- уполномоченным органам государственной власти в случаях, предусмотренных федеральными законами;

- контрагентам Оператора по договорам, при наличии согласия субъекта Персональных данных;

- иным лицам – в случаях и в порядке, предусмотренных федеральным законодательством и при наличии согласия субъекта Персональных данных.

6.10. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

6.11. Обработка персональных данных осуществляется путем:

· получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

· внесения персональных данных в журналы, реестры, медицинские карты, договоры и информационные системы Оператора;

· использования иных способов обработки персональных данных.

6.12. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

6.13. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

7. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка Персональных данных осуществляется Оператором на основании следующих принципов:

1) обработка Персональных данных осуществляется на законной и справедливой основе;

2) обработка Персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих Персональных данных, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только Персональных данных, которые отвечают целям их обработки;

5) содержание и объем обрабатываемых Персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

6) при обработке Персональных данных обеспечивается точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки Персональных данных (принимаются необходимые меры по удалению или уточнению неполных, или неточных данных);

7) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

8.1. Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных, в Медицинской организации локальными нормативными актами определен порядок работы с обращениями и запросами субъектов персональных данных, а также порядок предоставления субъектам персональных данных информации, установленной законодательством РФ в области персональных данных.

8.2. Запросы субъектов предоставляются на бумажном носителе (при личном обращении Субъекта) или на электронную почту Оператора babor_surgut@mail.ru.

8.3. Запрос должен содержать:

•  номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

•  сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

•  подпись субъекта персональных данных или его представителя.

8.4. Учет обращений (запросов) субъектов персональных данных ведется в Журнале учета обращений (запросов) субъектов персональных данных, составленном по форме, которая утверждается Руководителем Оператора.

8.5. Запрос также может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

8.6. Работники Медицинской организации не имеют право отвечать на вопросы, связанные с передачей или разглашением персональных данных по телефону в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.

8.7. Сроки реагирования Оператора на запросы субъекта ПД установлены законодательствам, и составляют 10 рабочих дней с момента обращения или получения запроса, при этом Оператору необходимо:

- предоставить субъекту ПД информацию, касающуюся обработки его персональных данных (п. 7 ст. 14 Закона № 152-ФЗ);

- предоставить возможность субъекту ознакомиться с его ПД, находящимися у Оператора, либо дать письменный отказ в предоставлении такой информации (ч. 1-2 ст. 20 Закона № 152-ФЗ);

-предоставить в Роскомнадзор запрошенные этим органом сведения (ч. 4 ст. 20 Закона № 152-ФЗ);

- прекратить обработку ПД по требованию субъекта ПД (п. 5.1. ст. 21 Закона № 152-ФЗ).

8.8. Ответы на письменные запросы субъектов персональных данных даются в письменной форме в объеме, обеспечивающем конфиденциальность персональных данных. Мотивированный отказ в предоставлении запрашиваемой информации направляется, если субъект персональных данных не обладает правами доступа к запрашиваемой информации или запрос не соответствует требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8.9. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 ФЗ о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

8.10. Сведения по запросу, предоставляются субъекту персональных данных или его представителю Оператором в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.11. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями ФЗ о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

8.12. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 ФЗ о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8.13. В случае если запрашиваемые сведения были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе обратиться повторно к Оператору или направить повторный запрос в целях получения этих сведений и ознакомления с ними не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. До истечения этого срока субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые Персональных данных не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

Повторный запрос должен содержать обоснование направления повторного запроса.

8.14. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.8.3. настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

8.15. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

8.16. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.17. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8.18. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8.19. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

8.20. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

8.21. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.22. В случае отсутствия возможности уничтожения персональных данных в течение срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.23. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

8.24. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

· иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

· Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

· иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

9.  МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применяет прошедшие в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) ведет учет машинных носителей персональных данных;

6) принимает меры по обнаружению фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

8) устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) ведет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10) назначает лиц, ответственных за организацию обработки Персональных данных;

11) издает локальные акты по вопросам обработки Персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

12) проводит ознакомление Работников, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в т.ч. с требованиями к защите Персональных данных, локальными актами в отношении обработки Персональных данных и обучением указанных Работников;

13) организовывает обучение и проведение методической работы с Работниками, обрабатывающими Персональные данные;

14) разделяет
Персональные данные, обрабатываемые без использования средств автоматизации, от
иной информации, в частности путем их фиксации на отдельных материальных
носителях Персональных данных, в специальных разделах.