1. Общие положения.
1.1. Настоящий документ определяет политику Общества с ограниченной ответственностью «ДЕНТУМ» (ООО «ДЕНТУМ») (далее — Оператор) в отношении обработки персональных данных (далее — ПД) физических лиц (субъектов персональных данных) и меры по обеспечению безопасности ПД.
1.2. Настоящая политика в области обработки и защиты ПД (далее — Политика) разработана в соответствии с подпунктом 2) пункта 1 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и действует в отношении всех ПД, обрабатываемых Оператором.
1.3. Настоящая Политика утверждается приказом Генерального директора Оператора и в соответствии с п.2 ст.18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года подлежит публикации на сайте Оператора dentumclinic.ru для обеспечения неограниченного доступа к документу.
1.4. Целью настоящей Политики является защита интересов субъектов ПД, а также исполнение требований законодательства Российской Федерации о персональных данных.
1.5. Настоящая Политика распространяется на все обособленные подразделения и филиалы Оператора и является обязательной для всех Сотрудников Оператора.
1.6. Политика Оператора в отношении обработки персональных данных определяется и соответствует нормативным правовым актам Российской Федерации в области защиты персональных данных.
2. Основные понятия и определения.
Для целей настоящей Политики применяются следующие основные понятия:
- Оператор — Общество с ограниченной ответственностью «ДЕНТУМ», ИНН 7734365329, г. Москва, пр-кт Маршала Жукова, д.3.
- Клиенты — физические лица, юридические лица, с которыми у Оператора заключены сделки, либо которые своими действиями выражают намерение заключить сделки.
- Сотрудники — физические лица — работники Оператора, с которыми заключен трудовой или гражданско — правовой договор.
- Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе относящаяся к Клиентам и Сотрудникам Оператора, включая сведения медицинского характера, составляющие врачебную тайну.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3. Цели обработки персональных данных.
Оператор обрабатывает персональные данные исключительно в следующих целях:
— исполнение условий договоров, заключенных или планируемых к заключению с Клиентами Оператора,
— оказание медицинских услуг,
— исполнение условий трудовых и гражданско-правовых договоров, заключенных с Сотрудниками Оператора,
— ведение бухгалтерского, налогового, кадрового учета, взимание необходимых налогов и сборов с доходов Сотрудников, организация обучения и повышения квалификации Сотрудников,
— ведение документооборота, информационное взаимодействие с государственными органами и учреждениями.
4. Способы и принципы обработки персональных данных
4.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».
4.2. Обработка персональных данных Оператором осуществляется на основе следующих принципов:
4.2.1. Обработка персональных данных осуществляется на законной и справедливой основе.
4.2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.2.4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
4.2.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
4.2.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
4.2.7. Сроки хранения персональных данных установлены нормами федерального законодательства в области защиты персональных данных и иными нормативно- правовыми актами, включая законодательство по охране здоровья граждан.
5. Условия обработки персональных данных Клиентов.
5.1. Обработка персональных данных Клиентов осуществляется с их согласия, а также в иных случаях, предусмотренных статьей 6 Федерального закона от 27.07.2006 № 1520ФЗ «О персональных данных».
5.2. Согласие на обработку ПД может быть дано Клиентом или его законным представителем в любой форме, позволяющей подтвердить факт получения Оператором такого согласия, если иное не установлено законодательством Российской Федерации. Форма согласия может Клиента или его законного представителя может быть предоставлена в письменной , конклюдентной или иной форме, предусмотренной законодательством Российской Федерации.
5.3. В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие — это действие лица, выражающее его волю установить правоотношение (совершить сделку) поведением, по которому можно сделать заключение о таком намерении. Клиенты дают конклюдентное согласие на обработку персональных данных через формы на сайте Оператора в случае намерения заключить договор.
6. Сведения о третьих лицах, участвующих в обработке персональных данных
6.1. В целях достижения целей обработки или с целью исполнения требований законодательства Российской Федерации, а также в интересах и исключительно с согласия субъектов персональных данных Оператор в ходе своей деятельности в случае необходимости может предоставлять ПД иным лицам, состоящими в договорных отношениях с Оператором или иным лицам по указанию субъекта персональных данных, а также без согласия субъекта персональных данных — исключительно в случаях, предусмотренных законодательством Российской Федерации.
7. Меры по обеспечению безопасности персональных данных при их обработке
7.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
7.1.1. Назначением ответственного за организацию обработки персональных данных.
7.1.2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
7.1.3. Ознакомлением Сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
7.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
7.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
7.1.6. Учетом машинных носителей персональных данных.
7.1.7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
7.1.8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7.1.9. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
7.1.10. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
8. Права субъектов персональных данных
8.1. В соответствии с №152-ФЗ «О персональных данных» субъект персональных данных имеет право:
8.1.1. Получить сведения касающиеся обработки ПД Оператором, а именно:
— подтверждение факта обработки персональных данных Оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных №152- ФЗ «О персональных данных»;
— информацию об осуществленной или предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные №152-ФЗ «О персональных данных» или другими федеральными законами.
8.1.2. Потребовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.1.3. Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.
8.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
8.3. Для реализации своих прав (см. п.п. 8.1.1-8.1.3.) и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных в течение 20 дней, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
8.4. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
9. Заключительные положения
9.1. Оператор имеет право вносить изменения в настоящую Политику.
9.2. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
9.3. Ответственность Сотрудников, имеющим доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных определяется законодательством Российской Федерации и внутренними документами Оператора.