3d-панорама
Видео Фото
8 800 550 40 10
Вконтакте Telegram Max
Задать вопрос Забронировать путевку
Главная — Политика обработки персональных данных

Политика обработки персональных данных

ПОЛИТИКА обработки персональных данных Обществом с ограниченной ответственностью
«БУКОВАЯ РОЩА» в информационных системах персональных данных

  1. Общие положения

1.1. Назначение политики

Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных в информационных системах персональных данных, а также реализуемые меры защиты персональных данных в ООО «Буковая роща» (далее — Оператор, Организация). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц. Политика применяется ко всей информации, которую Оператор может получить о посетителях веб‑сайта https://www.bukovaya-roscha.ru/.

1.2. Основные понятия:

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

безопасность персональных данных — состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); веб‑сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://www.bukovaya-roscha.ru/ .

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц; распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

технические средства информационной системы персональных данных — средства вычислительной техники, информационно‑вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно‑цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

администрация сайта — уполномоченные на управление сайтом лица, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

пользователь сайта (далее — Пользователь) — лицо, имеющее доступ к Сайту посредством сети Интернет и использующее Сайт;

cookies — небольшой фрагмент данных, отправленный веб‑сервером и хранимый на компьютере пользователя, который веб‑клиент или веб‑браузер каждый раз пересылает веб‑серверу в HTTP‑запросе при попытке открыть страницу соответствующего сайта;

IP‑адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP;

1.3. Общие положения:

Использование Пользователем Сайта означает согласие с настоящей Политикой и условиями обработки персональных данных Пользователя. В случае несогласия с условиями Политики Пользователь должен прекратить использование Сайта. Настоящая Политика применяется только к данному сайту. Администрация сайта не контролирует и не несёт ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем Сайта.

1.4. Основные права Оператора

Оператор оставляет за собой право проверить полноту и точность предоставленных персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В случае выявления ошибочных или неполных персональных данных, Оператор имеет право прекратить все отношения с субъектом персональных данных. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором. Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператором подтверждения наличия оснований, указанных в Федеральном законе № 152-ФЗ. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ). Оператор вправе отказать субъекту персональных данных в выполнении запроса на доступ к своим персональным данным, не соответствующего условиям, предусмотренные частями 4 и 5 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение Оператора). В случаях, когда Оператор поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

1.5. Основные обязанности Оператора

Оператор не собирает персональные данные, не обрабатывает и не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его законного представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных . В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3-х рабочих дней с даты этого выявления, осуществляет прекращение неправомерной обработки персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, осуществляет уничтожение таких персональных данных или обеспечивает их уничтожение. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до руководства. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение субъекта персональных данных или его законного представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные. При этом Оператор уведомляет субъекта персональных данных или его законного представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанные выше по тексту в данной главе, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

1.6. Основные права субъекта

Субъект персональных данных принимает решение о предоставлении Оператору своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. В целях обеспечения своих законных интересов субъекты персональных данных или его представители имеют право: 1) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной); 2) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ; 3) требовать уточнение его персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект персональных данных при отказе Оператором исключить или исправить, блокировать или уничтожить его персональные данные имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения; 4) требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие, неточные, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них, в том числе блокирование или уничтожение этих данных третьими лицами; 5) обжаловать в суде или в уполномоченном органе по защите прав субъектов персональных данных любые неправомерные действия или бездействие Оператора при обработке и защите персональных данных субъекта персональных данных, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы. В случае, если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно Оператору или направить ему повторный запрос в целях получения сведений, и ознакомления с персональными данными не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Субъект персональных данных вправе обратиться повторно до истечения 30 дневного срока в случае, если сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

  1. Общие положения

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только те персональные данные, которые отвечают целям их обработки и не должны быть избыточными по отношению к заявленным целям.

Целью обработки персональных данных является информационная поддержка процесса оказания услуг (в том числе, медицинских) на уровне учреждения, включая ведение электронной индивидуальной карты клиента, оздоровительно-технологических процессов в рамках учреждения; информационная поддержка процесса управления учреждения, включая управление административно-хозяйственной деятельностью учреждения, формирование и передачу данных о стоимости оказываемых услуг и цене материально-технического обеспечения; информационная поддержка процессов взаимодействия с лицами, выразившими желание получить соответствующий вид услуг.

  1. Правовые основания обработки персональных данных

Оператор обрабатывает персональные данные, руководствуясь следующим:

  • Трудовой кодекс Российской Федерации;
  • Федеральный закон от 27 июля 2006 г. № 152‑ФЗ «О персональных данных»;
  • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Уставом и внутренними документами Оператора;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Лицензией на осуществление деятельности;
  • Федеральным законом от 29.11.2010 № 326‑ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральным законом от 29 декабря 2006 г. № 255‑ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
  • Нормативными правовыми актами Министерства здравоохранения Российской Федерации;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
  • Федеральный закон № 323‑ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан»;
  • Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации» от 02.05.2006 № 59‑ФЗ;
  • Постановление Правительства Российской Федерации от 18 ноября 2013 года № 1035 «О федеральной информационной системе государственной научной аттестации»;
  • Внутренние документы в области защиты персональных данных;
  • Согласие на обработку персональных данных.
  1. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Оператор осуществляет на законной и справедливой основе обработку персональных данных следующих физических лиц (субъектов ПДн):

Цель «содействие субъекту в трудоустройстве» достигается посредством обработки персональных данных следующих категорий для следующих субъектов: 1) кандидаты для приема на работу: фамилия, имя, отчество, дата, место рождения, паспортные данные (серия, номер, орган, выдавший, дата выдачи, код подразделения), данные документа об образовании, телефон, место регистрации, место фактического проживания, сведения о трудовой деятельности, ИНН, сведения о близких родственниках (ФИО, дата рождения), сведения о военной обязанности, сведения об умениях и навыках сотрудника, образование, информация о трудовой деятельности.

Цель «исполнение договоров, одной из сторон которого является субъект» достигается посредством обработки персональных данных следующих категорий для следующих субъектов: 1) контрагенты: телефон, фамилия, имя, отчество, адрес, паспортные данные, ИНН. 2) граждане, обратившиеся за предоставлением платных услуг Учреждения: расчетный счет, фамилия, имя, отчество, контактные сведения, паспортные данные, состояние здоровья.

Цель «выполнение функций, возложенных на Организацию законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях» достигается посредством обработки персональных данных следующих категорий для следующих субъектов: 1) ближайшие родственники сотрудников: фамилия, имя, отчество, дата рождения, степень родства. 2) сотрудники: место рождения, состав семьи, семейное положение, профессия, фамилия, имя, отчество, образование, дата рождения, сведения о воинском учёте, контактные сведения, информация о трудовой деятельности, гражданство, паспортные данные, сведения о повышении квалификации и профессиональной переподготовке, сведения об увольнении (если имеются), информация об отпусках, сведения об аттестации сотрудника, адрес места жительства и дата регистрации, информация о социальных льготах, сведения о государственных и ведомственных наградах, почётных званиях, знание иностранного языка.

Цель «оказание лечебно-профилактической помощи населению» достигается посредством обработки персональных данных следующих категорий для следующих субъектов: 1) граждане, обратившиеся в Организации за услугами: данные родителей (опекунов), данные о состоянии здоровья, копии паспортов, адрес места жительства (пребывания), номер телефона, пол, гражданство, фамилия, имя, отчество, дата рождения, место рождения, паспортные данные, семейное положение, ИНН, СНИЛС.

Цель «организация санаторно-курортного лечения субъектов» достигается посредством обработки персональных данных следующих категорий для следующих субъектов: 1) Граждане, направляемые на санаторно-курортное лечение: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, семейное положение, состав семьи, степень родства, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, состояние здоровья.

В Учреждении предусмотрены следующие формы фиксации персональных данных: 1) ближайшие родственники сотрудников: личные карточки сотрудников Т2, сведения о семье сотрудников. 2) Граждане, направляемые на санаторно-курортное лечение: заключения врачей-специалистов, копии паспортов, копии свидетельств о рождении, для детей до 14 лет, копии страховых медицинских полисов, путёвки, результаты обследований, санаторно-курортные карта для детей, санаторно-курортные карты, справки на энтеробиоз (для посещения бассейна), справки о прививках (прививочные карты), справки о санитарно-эпидемиологическом окружении, справки с рекомендацией санаторно-курортного лечения. 3) граждане, обратившиеся в Организацию за услугами: договор об оказании услуг, копии документов (паспорт, свидетельство о рождении), медицинские карты пациентов, результаты исследований. 4) граждане, обратившиеся за предоставлением платных услуг Учреждения: Договор об оказании услуг, Копии документов (паспорт, свидетельство о рождении), Медицинские карты пациентов, Результаты исследований. 5) кандидаты для приема на работу: копии документов, письменное заявление о приёме на работу, сведения об образовании, характеристика-рекомендация. 6) контрагенты: договор. 7) сотрудники: копия приказа о приёме на работу, корпоративный телефонный справочник, письменное заявление о приёме на работу, расписка сотрудника об ознакомлении его с локальными нормативными актами Организации, расписка сотрудника об ознакомлении его с локальными нормативными актами Учреждения, расписка сотрудника об ознакомлении с документами Организации, устанавливающими порядок обработки персональных данных, а также о правах и обязанностях в этой области, расписка сотрудника об ознакомлении с документами Учреждения, устанавливающими порядок обработки персональных данных, а также о правах и обязанностях в этой области, результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей, типовые формы письменного добровольного согласия на обработку получение его персональных данных, типовые формы письменного добровольного согласия на обработку получение его персональных данных (Приложения № 1 и № 2 к Положению), трудовой договор, характеристика-рекомендация.

  1. Порядок и условия обработки персональных данных

5.1. Перечень действий с персональными данными субъектов, осуществляемых Оператором

Оператором осуществляются следующие действия с персональными данными: блокирование, запись, извлечение, использование, накопление, передача (распространение, предоставление, доступ), сбор, систематизация, удаление, уничтожение, уточнение (обновление, изменение), хранение.

5.2. Способы обработки персональных данных

Оператором применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и без передачи по сети интернет.

5.3. Передача персональных данных третьим лицам

С целью сбора статистики по Пользователям сайта, Оператор передает файлы cookie, сведения о действиях пользователя на сайте, информация о браузере, IP адрес, дата и время сессии в:

— ООО «Яндекс» (https://yandex.ru/legal/confidential/index.html)

— ООО «Бизнес-аналитика» (https://roistat.com/ru/privacy).

— ООО «ТРЭВЕЛ ЛАЙН СИСТЕМС» (https://www.travelline.ru/support/privacy/politika-konfidentsialnosti).

При обработке персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе:

  • определение угроз безопасности персональных данных при их обработке в информационных системах;
  • учёт машинных носителей персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.

Кроме того, Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.4. Меры по обеспечению безопасности персональных данных при их обработке

Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных Оператором достигается, в частности следующими мерами: 1) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер; 2) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Учреждения по вопросам обработки персональных данных; 3) ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Учреждения в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников; 4) издание политики Учреждения в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных; 5) учет машинных носителей персональных данных; 6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 7) назначение Ответственного за организацию обработки персональных данных; 8) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ); 9) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 10) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 11) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 12) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; 13) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.5. Базы персональных данных Оператора находятся полностью в пределах территории Российской Федерации.

5.6. Сроки обработки персональных данных

Персональные данные субъектов, обрабатываемые Оператором, подлежат уничтожению либо обезличиванию в случае: 1) достижения целей обработки персональных данных или утраты необходимости в достижении этих целей; 2) прекращения деятельности Оператора; 3) истечения установленного срока хранения.

5.7. Условия обработки персональных данных без использования средств автоматизации

При обработке персональных данных, осуществляемой без использования средств автоматизации, Оператор выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Персональные данные при такой их обработке обособляются от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

  1. Регламент реагирования на запросы обращения субъектов персональных данных и их представителей

При обращении, запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ. Субъект или его законный представитель может воспользоваться формами запросов (заявлений. Доступ субъекта персональных данных или его законного представителя к своим персональным данным Оператор предоставляет только под контролем ответственного за организацию обработки персональных данных Оператора. Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных. Запрос в письменной или электронной форме субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.

Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным. В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя. Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения. Сведения о наличии персональных данных Оператор предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных. Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение 30 дней от даты получения запроса субъекта персональных данных или его законного представителя.

  1. Регламент реагирования на запросы обращения уполномоченных органов

В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением работников Оператора. В течение установленного срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

Понятно

Сайт Оператора использует файлы cookie для сбора и анализа данных трафика, подбора актуальной информации и рекламы, а равно для предоставления Пользователю возможности открытия доступа к функциям обмена данными в социальных сетях. Для продолжения использования сайта Пользователь подтверждает согласие на использование в соответствии с Политикой обработки персональных данных.

Согласиться Отказаться