Политика обработки и защиты персональных данных
ООО «Сибвита»

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена ООО «Сибвита» ( далее Организация или Оператор) в соответствии с федеральным законодательством Российской Федерации и является основополагающим внутренним регулятивным документом Организации, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – ПДн), оператором которых является Организация.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.

1.3. Положения Политики распространяются на отношения по обработке и защите ПДн,
полученных Организацией как до, так и после утверждения Политики, за исключением случаев,
когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

1.4. Обработка ПДн в Организации осуществляется в связи с выполнением Организацией
функций, предусмотренных ее учредительными документами и определяемых:

– Законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской
Федерации»;

– Законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

– Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

– постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к
защите персональных данных при их обработке в информационных системах персональных
данных»;

- Приказом ФСТЭК Росси от 18.02.2013 № 21;

– иными нормативными правовыми актами Российской Федерации.

1.5. Настоящая Политика определяет основные принципы и меры по обеспечению безопасности персональных данных, получение, порядок, способы и цели обработки  ПДн, порядок хранения, защиты, передачи, уничтожения персональных данных, категории субъектов ПДн, перечень обрабатываемых персональных данных, права и обязанности Организации и субъектов ПДн.

1.6. Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения , если иное не предусмотрено новой редакцией Политики.

1.7. Действующая редакция хранится в месте нахождения Организации по адресу: г. Красноярск, ул. Алексеева 115, электронная версия Политики – на сайте по адресу: sibvita.ru.

1.8. Политика размещается на сайте Организации и в уголке потребителя.

2. Термины и принятые сокращения

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обработка персональных данных – любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление,
уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с
помощью средств вычислительной техники.

Информационная система персональных данных (ИСПДн) - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

Оператор персональных данных (оператор) – ООО «Сибвита» и должностные лица ООО «Сибвита», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Субъект персональных данных – физическое лицо, данные которого обрабатываются.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных
данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (за исключением случаев, если обработка необходима для уточнения персональных
данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

Конфиденциальность персональных данных — обязательное для соблюдения должностными лицами Медицинского центра, иными, получившившими доступ к персональным данным лицами, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания;

Пациенты—  физические лица, обратившиеся за медицинской помощью, находящиеся под медицинским наблюдением.

Медицинская деятельность – профессиональная деятельность по оказанию медицинской
помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских
освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий.

Лечащий врач – врач, на которого возложены функции по организации и непосредственному
оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.

Работник - физическое лицо, вступившее в трудовые отношения с работодателем;

Работодатель –  ООО «Сибвита».

3. Обеспечение безопасности персональных данных.

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в Организации является
предотвращение несанкционированного, в том числе случайного, доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, их разрушения (уничтожения), искажения, блокирования, копирования, распространения при обработке в информационной системе, а также иных неправомерных действий с ПДн.

3.2. Для обеспечения безопасности ПДн Организация руководствуется следующими принципами:

– законность: защита ПДн основывается на положениях нормативных правовых актов и
методических документов уполномоченных государственных органов в области обработки и
защиты ПДн;

– системность: обработка ПДн в Организации осуществляется с учетом всех взаимосвязанных,
взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для
понимания и решения проблемы обеспечения безопасности ПДн;

– комплексность: защита ПДн строится с использованием функциональных возможностей
информационных технологий, реализованных в информационных системах Организации и других имеющихся в Организации систем и средств защиты;

– непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах
функционирования систем обработки ПДн;

– своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн,
принимаются до начала их обработки;

– преемственность и непрерывность совершенствования: модернизация и наращивание мер и
средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Организации с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

– персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается
на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

– минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме,
необходимом для выполнения их должностных обязанностей;

– гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик
функционирования информационных систем персональных данных Организации, а также объема и состава обрабатываемых ПДн;

– специализация и профессионализм: реализация мер по обеспечению безопасности ПДн
осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;

– наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть
спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

– непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля
использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

3.3. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры обеспечения безопасности ПДн, в том числе:

- создаёт систему защиты персональных данных (СЗПД), состоящая из правовой, организационной и технической защиты;

- назначает лицо, ответственное за обработку ПДн, которое осуществляет организацию
обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением Организацией и её работниками требований к защите ПДн;

- определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных с учетом оценки возможного вреда;

-устанавливает правила доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- определяет перечень работников , которые вправе осуществлять операции с персональными данными в соответствии с их должностными обязанностями, создает систему их идентификации и аутентификации;

- для обработки ПДн в информационных системах устанавливает индивидуальных логины и пароли доступа работников в информационные системы в соответствии с их должностными обязанностями;

- прекращает доступ к ПДн уволенного работника с момента его увольнения, обеспечивает сдачу работником документов и иных носителей, содержащих персональные данные, лицу, ответственному за обработку ПДн;

- применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;

- применяет сертифицированное программное обеспечение, включая антивирусное;

- обеспечивает хранение бумажных носителей, содержащих ПДн, в специальных отведенных для этого помещениях с ограничением доступа в них;

 Оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учитывает и защищает машинные носители персональных данных, обеспечивает их сохранность;

- обеспечивает защиту информационной системы, её средств, систем связи и передачи данных;

- выявляет события, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) возникновению угроз безопасности ПДн, и своевременно реагирует на них;

- обнаруживает факты нарушений порядка обработки персональных данных и принимает меры  по выявлению причин нарушений и их устранению;

- восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним.

4. Категории субъектов персональных данных

В Организации обрабатываются ПДн следующих субъектов:

– физические лица, состоящие с учреждением в трудовых отношениях (Работники);

– физические лица, являющие близкими родственниками Работников;

– физические лица, уволившиеся из учреждения (бывшие работники);

– физические лица, являющиеся кандидатами на работу;

– физические лица, состоящие с учреждением в гражданско-правовых отношениях;

– физические лица, обратившиеся в учреждение за медицинской помощью (Пациенты) и их законные представители.

5. Перечень обрабатываемых персональных данных

5.1. В отношении работников, бывших работников и кандидатов на работу обрабатываются следующие ПДн:

- фамилия, имя, отчество;

- дата и место рождения;

- адреса места жительства и регистрации;

- контактный телефон;

- гражданство;

- образование;

- профессия, должность;

- стаж работы;

- семейное положение, наличие детей;

- серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе,

- данные страхового свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- табельный номер;

- сведения о доходах;

- сведения о воинском учете;

- сведения о повышении квалификации, о профессиональной переподготовке;

- сведения о наградах (поощрениях), почетных званиях;

- сведения о социальных гарантиях;

- сведения о состоянии здоровья, влияющие на выполнение трудовой функции.

5.2. Персональные данные родственников работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:

- фамилия, имя, отчество;

- дата и место рождения;

- серия и номер документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

- серия и номер свидетельства о рождении ребенка, сведения о выдаче указанного документа и выдавшем его органе;

- серия и номер свидетельства о заключении брака, сведения о выдаче указанного документа и выдавшем его органе.

5.3. В отношении пациентов обрабатываются следующие ПДн:

–– фамилия, имя, отчество;

–– пол;

–– дата рождения;

–– адреса места жительства и регистрации;

–– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

–– гражданство;

–– данные о состоянии здоровья, в том числе биометрические персональные данные;

–– семейное и социальное положение;

–– контактный телефон;

–– адрес электронной почты;

–– реквизиты полиса обязательного медицинского страхования;

–– реквизиты полиса (договора) добровольного медицинского страхования;

–– тип занятости, место работы, должность.

5.4. В отношении физических лиц, состоящих с Организацией в гражданско-правовых отношениях, обрабатываются следующие ПДн:

- фамилия, имя, отчество;

- пол;

- возраст;

- дата рождения;

- адреса места жительства и регистрации;

- контактный телефон;

- адрес электронной почты;

- серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе.

5.5. В отношении законных представителей пациентов обрабатываются следующие ПДн:

- фамилия, имя, отчество;

- пол;

- дата рождения;

- адреса места жительства и регистрации;

- контрактный телефон;

- адрес электронной почты;

- серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;

- сведения о документе, который подтверждает полномочия представителя.

6. Правовые основания обработки персональных данных

6.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

6.2. Оператор обрабатывает персональные данные на основании:

- Трудового кодекса Российской Федерации;

- Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» и принятых на его основе нормативно-правовых актов, регулирующих отношения, связанные с оказанием медицинских услуг;

- иных федеральных законов и прочих нормативных правовых актов;

- устава Оператора;

- договоров, заключаемых между Оператором и субъектами персональных данных;

- согласий на обработку персональных данных.

7. Требования к согласию на обработку персональных данных

7.1. Согласие субъекта ПДн на обработку его персональных данных может быть дано в письменной форме на бумажном носителе или в форме электронного документа, подписанного, в соответствии с федеральным законом, электронной подписью.

7.2. Согласие субъекта персональных данных должно включать:

–– фамилию, имя, отчество;

–– адрес субъекта персональных данных;

–– номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

–– наименование Оператора;

–– цель обработки персональных данных;

–– перечень персональных данных, на обработку которых дается согласие субъекта ПДн;

–– перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

–– срок, в течение которого действует согласие;

–– способ его отзыва;

–– подпись субъекта персональных данных.

8. Порядок обработка персональных данных

8.1. Обработка ПДн осуществляется только после принятия необходимых мер по защите персональных данных.

8.2. При обработке ПДн Оператор выполняет , в частности, получение (сбор), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

8.3. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных за исключением случаев, предусмотренных статьей 6 Федерального закона «О персональных данных»; при этом равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью

– в случаях, когда обработка персональных данных необходима для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

– в случаях, когда персональные данные являются общедоступными;

8.3. Оператор организует обработку персональных данных в следующем порядке:

- издает настоящую Политику, локальные акты по вопросам обработки персональных данных;

- назначает ответственного за организацию обработки персональных данных;

- устанавливает перечень лиц, имеющих доступ к персональным данным, и знакомит под роспись работников Оператора, допущенных к обработке персональных данных в соответствии с их должностными обязанностями, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных Работников;

- применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных ;

- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;

- осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», определяет соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;

8.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

8.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой

8.6. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – и
актуальность по отношению к целям обработки. Организация принимает необходимые меры по
удалению или уточнению неполных или неточных ПДн.

8.7. В Организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией ПНд уничтожатся или обезличиваются.

9. Получение персональных данных

9.1. Все ПДн следует получать от самого субъекта или его законных представителей. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

9.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах
получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

9.3. Документы, содержащие ПДн, создаются путем:

а) копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и т. д.);

б) внесения сведений в учетные формы;

в) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и т. д.).

9.4. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Организацией, определяется в
соответствии с законодательством и внутренними регулятивными документами
Организации.

10. Цели обработки персональных данных

10.1.Целями обработки ПДн являются :

- обеспечение организации оказания медицинской помощи населению, в том числе идентификации пациентов, а также наиболее полного исполнения обязательств и компетенций в соответствии с законами от 21 ноября 2011 г. № 323-ФЗ«Об основах охраны здоровья граждан Российской Федерации», от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств» и от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании граждан в Российской Федерации», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными постановлением Правительства РФ от 4 октября 2012 г. № 1006;

- оформление трудовых отношений;

- ведение кадрового делопроизводства;

- осуществление гражданско-правовых отношений;

- предоставление установленной законодательством отчетности;

- выполнение требований действующего законодательства.

11. Способы обработки персональных данных

Обработка персональных данных осуществляется Оператором следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

12. Хранение ПДн

12.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

12.2. ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в
запираемых помещениях с ограниченным правом доступа.

12.3. Запрещается хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе, оставлять шкафы (сейфы) открытыми в случае выхода работника из рабочего помещения.

12.4. В электронном виде документы, содержащие ПДн, хранятся в специализированных базах данных или в специально отведенных для этого директориях с ограничением и разграничением доступа.

12.5. Не допускается хранение и размещение документов, содержащих ПД, в открытых с электронных каталогах (файлообменниках) в ИСПД.

12.6. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).

12.7. Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не
дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

 

13.. Уничтожение ПДн

13.1. Уничтожение документов (носителей), содержащих ПДн, производится путем сожжения,
дробления (измельчения), химического разложения, превращения в бесформенную массу или
порошок. Для уничтожения бумажных документов допускается применение шредера.

13.2. ПДн на электронных носителях уничтожаются путем стирания или форматирования
носителя.

13.3. Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается
документально актом об уничтожении носителей, подписанным членами комиссии.

14. Передача ПДн

14.1. Организация передает ПДн третьим лицам в следующих случаях:

– субъект выразил свое согласие на такие действия;

– передача предусмотрена российским или иным применимым законодательством в рамках
установленной законодательством процедуры.

14. Перечень третьих лиц, которым передаются ПДн:

– Пенсионный фонд РФ для учета (на законных основаниях);

– Налоговые органы РФ (на законных основаниях);

– Фонд социального страхования (на законных основаниях);

– Территориальный фонд обязательного медицинского страхования (на законных основаниях);

– страховые медицинские организации по обязательному и добровольному медицинскому
страхованию (на законных основаниях);

– банки для начисления заработной платы (на основании договора);

– судебные и правоохранительные органы в случаях, установленных законодательством РФ;

– бюро кредитных историй (с согласия субъекта);

– иные организации в случаях, установленных законодательством РФ.

15. Основные права и обязанности субъекта персональных данных

15.1. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных оператором;

– правовые основания и цели обработки персональных данных;

– цели и применяемые оператором способы обработки персональных данных;

– наименование и место нахождения оператора, сведения о лицах (за исключением работников
оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты
персональные данные на основании договора с оператором или на основании федерального
закона;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных Законом «О
персональных данных»;

– информацию об осуществленной или о предполагаемой трансграничной передаче данных;

– иные сведения, предусмотренные настоящим Законом или другими федеральными законами.

15.2. Указанные выше сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

15.3. Сведения, указанные в пункте 16.1, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

15.4. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

15.5. В случае если сведения, указанные в пункте 16.1, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения указанных сведений не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

15.6. Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 16.1, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 16.5, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 15.1, должен содержать обоснование направления повторного запроса.

15.7. Субъект ПДн вправе требовать от оператора уточнения его персональных данных, их
блокирования или уничтожения в случае, если персональные данные являются неполными,
устаревшими, неточными, незаконно полученными или не являются необходимыми для
заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

15.8. Субъект ПДн имеет право обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.

15.9 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

16. Основные права и обязанности Организации

16.1. Организация обязана:

- предоставить субъекту ПДн или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта ПДн или его представителя в течение 30 дней с даты получения запрос;

-в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки;

-в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;

- в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных;

- в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора; в случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие персональные данные или обеспечить их уничтожение;

- уведомить об устранении допущенных нарушений или об уничтожении персональных данных  субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя, либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;

- в случае достижения цели обработки персональных данных прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

- в случае отсутствия возможности уничтожения персональных данных в течение указанных сроков осуществить блокирование таких персональных данных или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.;

– в случаях, если ПДн были получены не от субъекта ПДн, уведомить об этом субъекта ПДн;

– если предоставление персональных данных является обязательным в соответствии с федеральным законом, разъяснить Субъекту ПДн, при отказе в предоставлении ПДн, последствия такого отказа;

- при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (изменение, обновление), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, установленных  федеральным законом «О персональных данных»;

– опубликовать или иным образом обеспечить неограниченный доступ к документу,
определяющему политику Организации в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;

- в случае осуществления сбора ПДн с использованием информационно-телекоммуникационных сетей, опубликовать Политику и сведениям о реализуемых требованиях к защите ПДн  в соответствующей информационно-телекоммуникационной сети, а также обеспечить возможность доступа к указанному документу с использованием соответствующей информационно-телекоммуникационной сети;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения ПДн, а также  от иных неправомерных действий в отношении ПДн;

– давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного
органа по защите прав субъектов ПДн.

16.2. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

17. Заключительные положения

17.1. Политика является общедоступным документом.

17.2. Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации.