4. Обязанности Компании при сборе и обработке персональных данных4.1. При сборе персональных данных Компания обязана предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Компанией; правовые основания и цели обработки персональных данных; цели и применяемые Компанией способы обработки персональных данных; сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных действующим законодательством; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные действующим законодательством.
4.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Компания обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
4.3. Если персональные данные получены не от субъекта персональных данных, Компания, до начала обработки таких персональных данных, обязана предоставить субъекту персональных данных следующую информацию: цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; установленные законодательством права субъекта персональных данных; источник получения персональных данных.
4.4. Компания освобождается от обязанности предоставить субъекту персональных сведения, предусмотренные п.5.3. Политики, если: субъект персональных данных уведомлен об осуществлении обработки его персональных данных Компанией; персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных; персональные данные сделаны общедоступным субъектом персональных данных или получены из общедоступного источника; Компания осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.
4.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных действующим законодательством.
4.6. Компания обязана при получении соответствующего запроса сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
4.7. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.
4.8. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие персональные данные.
4.9. Компания обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4.10. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки.
4.11. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
4.12. В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
4.13. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании.
4.14. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение.
4.15. Об устранении допущенных нарушений или об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.16. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.
4.17. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.
4.18. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством.
5. Организация и контроль обеспечения защиты персональных данных5.1. Компания предпринимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных действующим законодательством.
5.2. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством. Для реализации мер защиты персональных данных Компания: назначает ответственных за организацию обработки персональных данных; издает локальные нормативные акты, определяющих политику Компании в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных; осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям действующего законодательства, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам Компании; оценивает вред, который может быть причинен субъектам персональных данных в случае нарушения требований действующего законодательства, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством; знакомит работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5.3. Система защиты ПД является частью общей системы обеспечения информационной безопасности Организации.
5.4. Ответственность за создание системы защиты персональных данных, обрабатываемых в Компании, несет Генеральный директор.
5.5. Лица, ответственные за функционирование информационной системы, несут ответственность за необеспечение сохранности и защиты персональных данных, обрабатываемых в информационных системах.
5.6. Общий контроль за соблюдением законодательства и Политики осуществляет Менеджер отдела по работе с персоналом.
5.7. Руководители структурных подразделений несут ответственность за соблюдение установленных в Компании требований по защите персональных данных работников своего подразделения.
5.8. Руководители структурных подразделений получают указания непосредственно от Генерального директора и Менеджера отдела по работе с персоналом и подотчетны по вопросам организации процесса обработки ПД данным лицам.
5.9. Руководители структурных подразделений, в частности, обязаны: осуществлять внутренний контроль за соблюдением работниками структурного подразделения законодательства Российской Федерации о персональных данных, локальных нормативных актов, включая данную Политику по вопросам защиты персональных данных; доводить до сведения Работников структурного подразделения положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
5.10. Должностные лица (Работники Компании), допущенные к обработке персональных данных, несут персональную ответственность за соблюдение требований локальных нормативных актов Компании по работе с персональными данными лиц, к обработке которых допущено данное должностное лицо.
5.11. Принципы и требования по обеспечению безопасности ПД распространяются на все возможные формы существования информации, такие как: физические поля (электрические, акустические, электромагнитные, оптические и т.п.); носители (электронные – магнитные и оптические (CD и DVD) накопители, съемные жесткие диски и флэш-накопители, бумажные носители); на все возможные форматы представления ПД, такие как: документы; голос; изображения; файлы; почтовые сообщения; базы данных; записи базы данных; другие информационные массивы.
5.12. Целью создания системы защиты ПД является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПД, а также иных неправомерных действий, путем обеспечения: конфиденциальности; целостности; доступности; невозможности отказа от авторства; учета; аутентичности; адекватности.
5.13. Предотвращение несанкционированного (в том числе и случайного) и незаконного доступа к информационным системам, технологиям и информационным ресурсам, результатом которого может стать уничтожение, модификация, искажение, копирование, распространение, блокирование ПД требует применения комплекса правовых, организационных, организационно-технических мер защиты с использованием сертифицированных средств защиты информации.
5.14. К основным задачам в области обеспечения безопасности ПД относится: определение актуальных угроз безопасности ПД и информационных технологий, используемых в информационных системах; применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах, необходимых для выполнения требований к защите ПД данных, исполнение которых обеспечивает установленные законодательством уровни защищенности ПД; применение процедур оценки соответствия средств защиты информации; оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы; учет машинных носителей ПД; обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации; обнаружение и регистрация фактов несанкционированного доступа к ПД, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие мер; разработка (актуализация) документации на систему защиты ПД; сертификация применяемых средств защиты информации; выбор и внедрение необходимых и достаточных мер и средств защиты ПД; эксплуатация системы защиты ПД в соответствии с документацией на нее; учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; восстановление ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним; установление правил доступа к ПД, обрабатываемым в информационной системе Компании, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе; контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем; сбор согласий на обработку ПД с субъектов ПД в случаях, установленных законодательством; разработка и актуализация Перечня персональных данных, обрабатываемых Компанией; контроль целей обработки ПД, соответствия обрабатываемых ПД целям обработки; уничтожение ПД в установленном порядке; оптимизация информационных и бизнес-процессов обработки ПД; управление взаимодействиями с внешними контрагентами по вопросам обработки ПД; взаимодействие с субъектами ПД по вопросам обработки их ПД; контроль уровня защищенности ПД; обучение персонала по вопросам защиты ПД; учет лиц, допущенных к обработке ПД; взаимодействие с регулирующими органами по вопросам защиты ПД; реагирование на нештатные ситуации, расследование нештатных ситуаций, возникающих при обработке ПД; получение, при необходимости, лицензий ФСТЭК России и ФСБ России на деятельность в области защиты ПД.
5.15. Запрещается вынос (вывоз) документов, электронных или иных носителей ПД за пределы контролируемой зоны, а также их передача лицам, не допущенным к обработке ПД, без согласования с ответственным за обеспечение безопасности ПД Компании.
5.16. При выносе устройств, хранящих ПД, за пределы контролируемой зоны для ремонта, замены и т.п. должно быть обеспечено гарантированное уничтожение информации, хранимой на этих устройствах.
5.17. Копирование и составление выписок из документов, содержащих ПД, разрешается исключительно в служебных целях с письменного разрешения руководителя структурного подразделения.
5.18. Обслуживание помещения (уборка или различный ремонт помещения, инженерно-технического оборудования) проводится обслуживающим персоналом только в присутствии и под присмотром хотя бы одного из Работников, имеющего право самостоятельно находиться в помещении. В случае, если возможность присмотра отсутствует, то носители информации персональных данных должны быть защищены от несанкционированного доступа (например, путем организации видеонаблюдения в помещении, размещения носителей только в запираемых шкафах и др. способами, обеспечивающими несанкционированный доступ или контроль за рисками такого доступа).
5.19. Работники подразделения, обеспечивающие контроль действий обслуживающего персонала в помещении, обязаны не допускать несанкционированных действий в отношении информационной системы, бумажных и магнитных носителей информации, компонентов инженерных систем и т.п., содержащих ПД.
5.20. Капитальный и/или иной ремонт, продолжительный по времени и требующий высвобождения рабочей площади помещения, может проводиться и без присмотра, однако при этом в обязательном порядке: носители информации должны быть вынесены из ремонтируемого помещения в другое контролируемое помещение; по окончанию ремонта должны быть сменены ключи и коды доступа в помещение.
5.21. Для сохранения целостности и доступности ПД, а также для обеспечения непрерывности бизнес-процессов, связанных с обработкой ПД, Компания организовывает мероприятия по резервному копированию ПД.
6. Права субъектов персональных данных6.1. Субъект персональных данных имеет право: на доступ к его персональным данным; на получение информации, касающейся обработки его персональных данных; на обжалование действий или бездействий Компании.
6.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Субъект ПД имеет право отправить в Компанию запрос на предоставление необходимых субъекту ПД сведений, содержащих информацию об обработке его ПД. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Компанией; правовые основания и цели обработки персональных данных; цели и применяемые Компанией способы обработки персональных данных; сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные действующим законодательством.
6.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.6. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных.
6.7. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
6.8. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.9. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Система локальных нормативных актов по защите персональных данных Компании7.1. Система локальных нормативных актов - совокупность локальных нормативных актов Компании, описывающих порядок обработки персональных данных должностными лицами Компании.
7.2. Система ЛНА состоит из следующих актов: Данная Политика, Положение по защите ПД работников и лиц, чьи данные обрабатываются в связи с трудовыми отношениями с Работодателем, Положение по защите ПД субъектов, чьи данные обрабатываются в связи с деловыми отношениями с Компанией.
7.3. Компания может в рамках своих полномочий издавать и иные локальные нормативные акты, положения, инструкции, которые будут регулировать отдельные вопросы обработки персональных данных, обязанности и права отдельных структурных подразделений и должностных лиц.
7.4. Ответственные должностные лица за работу с ПД определяются в отдельных ЛНА, указанных в п.5.2. данной Политики, а также в иных локальных актах и распорядительных документах Компании.
7.5. Субъекты ПД, перечень ПД, которые имеет право обрабатывать Компания, действия, которые осуществляются с ПД, определяются: законодательством РФ, ЛНА, входящими в систему ЛНА по ПД, письменными согласиями субъектов ПД.
7.6. При изменении законодательства локальные нормативные акты, составляющие систему ЛНА по ПД Компании, применяются в нормах, не противоречащих законодательству. Положения ЛНА, противоречащие законодательству, в том числе в случае его изменения, не могут быть основанием для предъявления претензий со стороны субъектов ПД. Компания несет ответственность только в случае осуществления незаконных действий, ущемляющих права субъекта ПД.
Подробнее:
https://besins-healthcare.ru/policy/