Политика конфиденциальности

1. Общие положения
1. 1.В целях гарантирования выполнения норм федерального законодательства в полном объеме Оператор считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных (далее - ПД), а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика оператора в отношении обработки ПД характеризуется следующими признаками:
Разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки ПД субъектов ПД. Раскрывает основные категории ПД, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПД, права и обязанности Оператора при обработке ПД, права субъектов ПД, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПД.

2. Основные понятия
Для целей настоящей Политики используются следующие понятия: Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД). Субъект – субъект ПД.
Работник – физическое лицо, состоящее в трудовых отношениях с Оператором. Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД. Распространение ПД – действия, направленные на раскрытие ПД неопределенному кругу лиц.
Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники.
Предоставление ПД – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц.
Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).
Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе персональных данных (далее – ИСПД) и (или) в результате которых уничтожаются материальные носители ПД. Обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.
Информационная система персональных данных – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Правовые основания обработки ПД
Политика Оператора в области обработки ПД, а также основание для обработки ПД определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:

Конституцией Российской Федерации.
Трудовым кодексом Российской Федерации.
Гражданским кодексом Российской Федерации.
Федеральным законом от 19.12.2005№ 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Федеральным законом от 27.07.2006№ 152-ФЗ «О персональных данных».
Федеральным законом от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральным законом от 29.11.2010№ 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

4. Цели обработки ПД
Оператор обрабатывает ПД исключительно в следующих целях:

Исполнения положений нормативных актов, указанных в п. 3.
Принятия решения о трудоустройстве кандидата.
Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.
Предоставления медицинской помощи.
Осуществления записи на прием ко врачу.

При этом обработка ПД в целях осуществление записи на прием ко врачу (и в случае записи на прием с использованием сервиса на сайте Оператора) допускается только при условии предварительного согласия субъекта ПД. Все лица, заполнившие сведения, составляющие ПД на сайте Оператора, а также разместившие иную информацию, обозначенными действиями (проставление галочки) подтверждают свое согласие на обработку ПД и их передачу Оператору обработки ПД.

5. Категории обрабатываемых ПД, источники их получения, сроки обработки и хранения
В ИСПД Оператора обрабатываются следующие категории ПД:

Работников Оператора (Административно-управленческий состав, врачи, обслуживающий персонал).
Уволенных работников.
Физических лиц, получающих или желающих получить медицинскую помощь.

6. Основные принципы обработки, передачи и хранения ПД:
6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.2. Оператор не осуществляет обработку биометрических ПД (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
6.3. Оператор выполняет обработку специальных категорий ПД, касающихся состояния здоровья в соответствии с п.4 ч.2 ст.10 Федерального закона от 27.07.2006 N 152-ФЗ. 6.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПД.

7. Меры по обеспечению безопасности ПД при их обработке
7.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
7.2.Обеспечение безопасности ПД достигается, в частности, следующими способами:

Назначением ответственных за организацию обработки ПД;
Осуществлением внутреннего контроля и аудита соответствия обработки ПД Федеральному закону от 27.07.2006№ 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, локальным актам;
Ознакомлением работников Оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе с требованиями к защите ПД, локальными актами в отношении обработки ПД, и обучением указанных сотрудников;
Определением угроз безопасности ПД при их обработке в ИСПД;
Применением организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД, необходимых для выполнения требований к защите ПД;
Оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
Учетом машинных носителей ПД;
Выявлением фактов несанкционированного доступа к ПД и принятием соответствующих мер;
Восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
Установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
Контролем за принимаемыми мерами по обеспечению безопасности ПД и уровнем защищенности ИСПД.

8. Обработка ПД
8.1. В целях обеспечения прав и свобод человека и гражданина при обработке ПД соблюдаются требования, установленные ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
8.2. Обработка ПД должна осуществляться на законной и справедливой основе. 8.3. Обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
8.4. Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
8.5. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
8.6. При обработке ПД должны быть обеспечены точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
8.7. Субъекты ПД не должны отказываться от своих прав на сохранение и защиту ПД.

9. Получение ПД:
9.1. Все ПД следует получать непосредственно от субъекта ПД. Субъект самостоятельно принимает решение о предоставление своих ПД и дает согласие на их обработку оператором.
Типовая форма заявления - согласия субъекта на обработку ПД представлена в приложении 1 к настоящей Политике.
9.2. В случае недееспособности либо несовершеннолетия субъекта ПД все ПД субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении ПД своего подопечного и дает согласие на их обработку оператором. Типовая форма заявления-согласия на обработку ПД подопечного представлена в приложении 2 к настоящей Политике. Типовая форма отзыва согласия на обработку ПД представлена в приложении 3 к настоящей Политике.

10. Хранение ПД:
10.1. Хранение ПД субъектов осуществляется структурными подразделениями оператора в соответствии с перечнями ПД и ИСПД, утвержденными у Оператора.
10.2. Личные дела сотрудников хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа (или металлических шкафах), обеспечивающего защиту от несанкционированного доступа.
10.3. Подразделения, хранящие ПД на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно постановлению Правительства Российской Федерации от 15.09.2008№ 687«Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

11. Передача ПД:
11.1. При передаче ПД субъекта оператор обязан соблюдать следующие требования:

не сообщать ПД субъекта третьей стороне без согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.
предупредить лиц, получающих ПД субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД субъекта, обязаны соблюдать требования конфиденциальности;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
передавать ПД субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПД субъекта, которые необходимы для выполнения указанными представителями их функций;

11.2. Все меры конфиденциальности при сборе, обработке и хранении ПД субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
11.3. Все сотрудники, имеющие доступ к ПД субъектов, обязаны подписать обязательство о неразглашении ПД.

12. Уничтожение ПД:
12.1. ПД субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
12.2. Документы, содержащие ПД, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

13. Права и обязанности субъектов ПД
13.1.Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос на адрес (запрос может быть также направлен в форме электронного документа и подписан электронной подписью): 603089, Нижегородская область, г. Нижний Новгород, ул. Ижорская, д. 50, корп.2 в порядке, установленном ст.14 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. 13.2. Согласие на обработку ПД может быть отозвано субъектом ПД либо его законным представителем.
13.3. Субъект ПД гарантирует: информация, им предоставленная, является полной, точной и достоверной; при предоставлении информации не нарушается действующее законодательство РФ, законные права и интересы третьих лиц; вся предоставленная информация заполнена в отношении себя лично, либо в отношении несовершеннолетнего лица, законным представителем которого является субъект ПД.

14. Обязанности и ответственность работников Оператора
14.1. Работники Оператора, допущенные к обработке ПД, обязаны:

неукоснительно выполнять требования настоящей Политики;
обрабатывать ПД только в рамках выполнения своих должностных обязанностей в соответствии с целью их обработки;
не разглашать ПД, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) ПД;
выявлять факты разглашения (уничтожения, искажения) ПД и информировать об этом непосредственного руководителя.

14.2.Работникам Оператора, допущенным к обработке ПД, запрещается несанкционированное и нерегламентированное копирование ПД на любые бумажные или электронные носители информации, не предназначенные для хранения ПД.
14.3. Лица, виновные в нарушении требований законодательства РФ в области ПД, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность.